linux 网络状态命令 详解linux运维工程师高级篇（大数据安全方向）(3)

# vi /var/kerberos/krb5kdc/kadm5.acl
*/admin@VRV.COM *

如果修改了文件kadm5.acl，那么你就必须重启kadmin进程

# service kadmin restart

7.启用Kerberos保护

安装JCE

必须用官网下载的JCE覆盖本地已有的JCE，否则将缺少供Kerberos使用的加密方式

在Ambariserver所在的主机和集群中的所有主机上，根据使用的JDK版本选择合适的JCE策略文件。

?Oracle JDK 1.7:

download-432124.html

?Oracle JDK 1.8:

download-2133166.html

在AmbariServer所在主机和集群中的所有主机上，添加unlimited security policy JCE jars

到目录$AMBARI_SERVER_JAVA_HOME/jre/lib/security/下。

注意：在所有的主机上，JCE相关的包都必须解压到配置文件/etc/ambari-server/conf/ambari.properties中属性java.home所指定的JDK目录下

# JAVA_HOME=/usr/java/default
# unzip -o -j -q UnlimitedJCEPolicyJDK8.zip -d $JAVA_HOME/jre/lib/security/

重启AmbariServer（ambari server服务器hdp140）

# service ambari-server restart

8.运行Kerberos保护向导

1.确认KDC已经安全和正确配置，并且已经在集群的所有主机上配置好JCE。

2.登录AmbariWeb，打开管理员 >Kerberos

3.点击启用Kerberos，启用安装向导，选择条件检查

4.提供关于KDC和管理员账号的信息

KDC相关信息请参考配置文件/etc/krb5.conf

5.ambari会在集群的主机上安装Kerberos客户端，然后通过测试是否能创建principal，生成keytab和分配Keytab来测试是否能连接KDC。

自定义Hadoop使用的Kerberos identities

6.确认你的配置。你可以通过页面下载自动创建的包含principals和Keytabs的CSV文件。

7.停止服务

8.启用kerberos

Keytabs保存在主机的/etc/security/keytabs目录下。

9.启动和测试服务

启动和测试服务成功后点击完成以结束Kerberos的启用。

10.查看已启用的Kerberos配置

到这里kerberos安装完成。

高级选项：

为AmbariServer设置Kerberos(可选项)

1.使用kadmin在你的KDC所在的主机(hdp141)为AmbariServer创建一个principal。(ambari-server为自定义名)

# kadmin.local -q "addprinc -randkey ambari-server@CESHI.COM"

2.为此principal生成一个Keytab

# kadmin.local -q "xst -k ambari.server.keytab ambari-server@CESHI.COM"

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-66746-3.html