Centos7+Hadoop3.3.4+KDC1.15+Ranger2.4.0集成

snipercai2024-05-03 17:58

一、集群规划

本次测试采用3台虚拟机,操作系统版本为centos7.6。

kerberos采用默认YUM源安装,版本为:1.15.1-55

Ranger版本为2.4.0 系统用户为ranger:ranger

|-----------------|------------------|---------------|--------------------|
| IP地址 | 主机名 | KDC | Ranger |
| 192.168.121.101 | node101.cc.local | KDC master | Ranger Admin |
| 192.168.121.102 | node102.cc.local | KDC slaver 1级 | |
| 192.168.121.103 | node103.cc.local | KDC slaver 2级 | Ranger Admin MYSQL |

注意:前期安装过ranger,已创建ranger用户和ranger用户组,参考文档:Centos7 + Apache Ranger 2.4.0 部署_centos安装配置apacherangerjdbc-CSDN博客文章浏览阅读2.7k次。Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。_centos安装配置apacherangerjdbchttps://blog.csdn.net/snipercai/article/details/132227718

二、创建Kerberos主体

1、创建主体

注意:ranger的用户名都是固定的,必须按照指定用户名创建实体

HTTP

rangeradmin

rangerlookup

rangerusersync

kadmin -p kws/admin -w kws\!101 -q"addprinc -randkey rangeradmin/node103.cc.local"

kadmin -p kws/admin -w kws\!101 -q"addprinc -randkey rangerlookup/node103.cc.local"

kadmin -p kws/admin -w kws\!101 -q"addprinc -randkey rangerusersync/node103.cc.local"

kadmin -p kws/admin -w kws\!101 -q"addprinc -randkey HTTP/node103.cc.local"

2、生成keytab文件

kadmin -p kws/admin -wkws\!101 -q"xst -k /etc/security/keytab/ranger.keytab rangeradmin/node103.cc.local rangerlookup/node103.cc.local rangerusersync/node103.cc.local HTTP/node103.cc.local"

3、修改keytab文件权限

chown ranger:ranger /etc/security/keytab/ranger.keytab

三、配置Rangeradmin

1、修改install.properties

修改policymgr地址,从原来的IP改为hostname,因为Kerberos认证是针对hostname

------- PolicyManager CONFIG ----------------

policymgr_external_url=http://node103.cc.local:6080

修改Kerberos Config内容

#------------ Kerberos Config -----------------

spnego_principal=HTTP/[email protected]

spnego_keytab=/etc/security/keytab/ranger.keytab

token_valid=30

cookie_domain=

cookie_path=/

admin_principal=rangeradmin/[email protected]

admin_keytab=/etc/security/keytab/ranger.keytab

lookup_principal=rangerlookup/[email protected]

lookup_keytab=/etc/security/keytab/ranger.keytab

hadoop_conf=/opt/hadoop/hadoop-3.3.4/etc/hadoop/

2、重新安装

./setup.sh

2024-04-24 17:53:07,536 [I] Ranger all admins default password has already been changed!!

Installation of Ranger PolicyManager Web Application is completed.

3、启动服务

su - ranger

ranger-admin start

四、配置RangerUsersync

1、修改install.properties

修改policymgr地址,从原来的IP改为hostname,因为Kerberos认证是针对hostname

POLICY_MGR_URL = http://node103.cc.local:6080
#Set to run in kerberos environment

usersync_principal=rangerusersync/[email protected]

usersync_keytab=/etc/security/keytab/ranger.keytab

hadoop_conf=/opt/hadoop/hadoop-3.3.4/etc/hadoop/

2、重新安装

./setup.sh

I\] Successfully updated password of rangerusersync user ### 3、修改ranger-ugsync-site.xml 修改conf/ranger-ugsync-site.xml > \ > > \ranger.usersync.enabled\ > > \true\ > > \ ### 4、启动服务 > # su - ranger > > # ranger-usersync start ## 五、配置HDFS-Plugin ### 1、修改install.properties 修改policymgr地址,从原来的IP改为hostname,因为Kerberos认证是针对hostname > POLICY_MGR_URL = http://node103.cc.local:6080 ### 2、重新安装 > # ./disable-hdfs-plugin.sh > > # ./enable-hdfs-plugin.sh ### 3、重启HDFS服务 > # start-dfs.sh ### 4、页面配置 > Service Name hdfs_repo > > Display Name hdfs_repo > > Description -- > > Active Status Enabled > > Tag Service -- > > Username hadoop > > Password \*\*\*\*\* > > Namenode URL hdfs://192.168.121.101:9000,hdfs://192.168.121.102:9000,hdfs://192.168.121.103:9000 > > Authorization Enabled true > > Authentication Type kerberos > > hadoop.security.auth_to_local DEFAULT > > dfs.datanode.kerberos.principal hadoop/[email protected] > > dfs.namenode.kerberos.principal hadoop/[email protected] > > dfs.secondary.namenode.kerberos.principal -- > > RPC Protection Type authentication > > Common Name for Certificate -- > > policy.download.auth.users hadoop > > dfs.journalnode.kerberos.principal hadoop/[email protected] ## 六、配置Yarn-plugin ### 1、修改install.properties 修改policymgr地址,从原来的IP改为hostname,因为Kerberos认证是针对hostname > POLICY_MGR_URL = http://node103.cc.local:6080 ### 2、重新安装 > # ./disable-yarn-plugin.sh > > # ./enable-yarn-plugin.sh ### 3、重启yarn服务 > # start-yarn.sh ### 4、页面配置 > Service Name yarn_repo > > Display Name yarn_repo > > Description -- > > Active Status Enabled > > Tag Service -- > > Username hadoop > > Password \*\*\*\*\* > > YARN REST URL http://192.168.121.101:8088,http://192.168.121.102:8088 > > Authentication Type kerberos > > Common Name for Certificate hadoop/[email protected] > > policy.download.auth.users hadoop

相关推荐
陌殇殇5 小时前
Hadoop 002 — HDFS常用命令及SpringBoot整合操作
hadoop·spring boot·hdfs
明月看潮生10 小时前
青少年编程与数学 01-011 系统软件简介 17 Hadoop大数据处理框架
大数据·hadoop·青少年编程·系统软件·编程与数学
陌殇殇12 小时前
Hadoop 003 — JAVA操作MapReduce入门案例
java·hadoop·mapreduce
※尘12 小时前
Hive 存储格式深度解析:从 TextFile 到 ORC,如何选对数据存储方案?
数据仓库·hive·hadoop
Azoner15 小时前
开源组件hive调优
hive·hadoop·开源
2301_7930698218 小时前
【术语解释】网络安全((SAST, DAST, SCA, IAST),Hadoop, Spark, Hive 的关系
hive·hadoop·网络安全·spark
火龙谷1 天前
【hadoop】疫情离线分析案例
大数据·hadoop·分布式
安审若无2 天前
Hive的索引使用如何优化?
数据仓库·hive·hadoop
小王不会写code2 天前
Hadoop 2.7.7 单机伪分布式安装与配置教程(JDK 8)
java·hadoop·分布式
zh_199952 天前
Hive面试题汇总
大数据·hive·hadoop·架构·面试题
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02【图像处理与机器视觉】XJTU期末考点03KGG转MP3工具|非KGM文件|解密音频04零代码入门 | Coze——让大模型接入自己的数据库05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】07扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解08海康Visionmaster-常见问题排查方法-启动阶段09【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!10坚果投影仪J10如何用苹果Siri开关机并和米家联动