图文精华

About云-梭伦科技»专题 交流区 技术交流 HBase 请教大神安装完kerberos有没有遇到过这个告警?
分享

请教大神安装完kerberos有没有遇到过这个告警?

js415247240 发表于 2018-1-2 20:45:23 [显示全部楼层] 只看大图 回帖奖励 阅读模式 关闭右栏 6 4730
About云VIP帮助找工作和提升
刚刚安装完kerberos,遇到各种问题,系统使用的是redhat 6.7遇到了一个这个告警,不知道什么原因?
第二个问题,hbase安装kerberos,kdc需要配置哪些账户?cdh版本5.9.0,jdk 1.7.0,os:redhat 6.7。多谢各位大神。

1.jpg
回复

使用道具 举报

自定义广告语

已有(6)人评论

跳转到指定楼层
正序浏览
sstutu 发表于 2018-1-2 21:08:53
本帖最后由 sstutu 于 2018-1-2 21:10 编辑

应该是网络协议,一共三个级别,上面说的1.
详细可参考下面

 传输层安全性(TLS)在Cloudera Manager服务器和代理之间的通信中提供加密和身份验证。 加密可防止通信侦听,并且身份验证有助于防止恶意服务器或代理在群集中引起问题。

  Cloudera Manager支持三种级别的TLS安全性。 有必要通过配置1级,然后2级TLS才能配置3级加密。 配置相互建立,达到3级,这是TLS安全性最强的级别。
级别1(好) - 此级别仅配置浏览器和Cloudera Manager之间以及代理和Cloudera Manager服务器之间的加密通信。请参阅仅为Cloudera Manager配置TLS加密,然后按照级别1:为Cloudera Manager代理配置TLS加密,以获取说明。 1级加密可以防止对代理和Cloudera Manager之间的通信进行窥探。
  级别2(更好) - 此级别包括代理和服务器之间的加密通信,以及代理对Cloudera Manager服务器证书的强大验证。请参阅第2级:由代理配置Cloudera Manager服务器的TLS验证。级别2通过验证由Cloudera Manager服务器提供的证书的信任,为代理提供额外的安全级别。
  级别3(最佳) - 代理和服务器之间的加密通信。 3级TLS包括代理和服务器之间的加密通信,由代理对Cloudera Manager服务器证书进行强大的验证,并使用自签名或CA签名的证书将代理验证到Cloudera Manager服务器。请参阅第3级:将代理的TLS验证配置到Cloudera Manager服务器。级别3解决了不受信任的网络场景,您需要防止群集服务器被主机上运行的不受信任的代理人欺骗。 Cloudera建议您在启用Kerberos身份验证之前,为不受信任的网络环境配置3级TLS加密。这提供了Cloudera Manager服务器和集群中经过验证的代理之间的keytab的安全通信。
要启用运行Cloudera Manager管理控制台和Cloudera Manager服务器的Web浏览器之间的所有连接的TLS加密,请参阅Level 1:为Cloudera Manager代理配置TLS加密的前两步。
  有关如何通过Cloudera Manager代理和Cloudera管理服务守护程序处理HTTPS通信的各个方面的更多详细信息,请参阅Cloudera Manager中的HTTPS通信。

回复

使用道具 举报

sstutu 发表于 2018-1-2 21:30:51
可以创建管理员账号,比如创建*/admin@YOUR_EALM,也就是只要带有admin的,都是管理员账号。后面那里用到,那里创建即可。推荐参考:
centos6配置Kerberos认证KDC服务
http://www.aboutyun.com/forum.php?mod=viewthread&tid=23723

回复

使用道具 举报

js415247240 发表于 2018-1-3 10:04:39
sstutu 发表于 2018-1-2 21:30
可以创建管理员账号,比如创建*/admin@YOUR_EALM,也就是只要带有admin的,都是管理员账号。后面那里用到, ...

请教一下,第一个问题是不是需要给zookeeper,hbase,root每一个用户都需要建立一个对应每一个节点的账号的意思么?第二个问题,做keytab文件,需要一个用户做一个keytab文件,还是一个节点做一个文件?

第三个问题,cdh是怎么管理账户的生存周期的?账户过期了需要手动处理么?
回复

使用道具 举报

nextuser 发表于 2018-1-3 17:01:46
js415247240 发表于 2018-1-3 10:04
请教一下,第一个问题是不是需要给zookeeper,hbase,root每一个用户都需要建立一个对应每一个节点的账号 ...

个人理解,楼主可以验证下:
第一个问题是不是需要给zookeeper,hbase,root每一个用户都需要建立一个对应每一个节点的账号的意思么?
一个机器一个账号即可,但是每个服务比如hbase或则hadoop配置文件都需要配置,才可以使用kerberos

第二个问题,做keytab文件,需要一个用户做一个keytab文件,还是一个节点做一个文件?
一台机器,你会用不同的用户名使用cloudera吗?一般来说,一个用户对应一个节点。

第三个问题,cdh是怎么管理账户的生存周期的?账户过期了需要手动处理么?
账户一般不存在这个问题。

回复

使用道具 举报

js415247240 发表于 2018-1-5 10:30:19
nextuser 发表于 2018-1-3 17:01
个人理解,楼主可以验证下:
第一个问题是不是需要给zookeeper,hbase,root每一个用户都需要建立一个对 ...

我来试一下,多谢,多谢。
回复

使用道具 举报

js415247240 发表于 2018-1-18 14:40:17
自己问题自己可以解决了。我发现cloudera官网上面使用的是centos 6.7,也是有这个告警的。也就是这个告警可以忽略。
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发表新帖
js415247240

注册会员

关注

  • 2

    主题

  • 9

    帖子

  • 3

    粉丝

TA的主题
关闭

推荐上一条 /2 下一条

关于我们· 联系我们· 加入我们· 小黑屋· 合作伙伴   

Copyright © 2001-2024 About云-梭伦科技 Powered by Discuz! X3.4 Licensed Discuz Team.

简书 / Smrz 京ICP备2020039040号 Wxb 简书网举报电话:021-34700000