IBM BigInsights 新建用户 dev 虽然属于 hadoop 组,但是没有 principal 和 keytab,访问 HDFS 会收到 Kerberos 认证错误,无法访问 HDFS 服务。
清单 8. 没有通过 Kerberos 认证的用户无法访问 HDFS
1
2
3
4
5
6
[root@bi01 ~]# su - dev
[dev@bi01 ~]$ hadoop fs -ls /
16/07/01 18:42:07 WARN ipc.Client: Exception encountered while connecting to the server : javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]
ls: Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]; Host Details : local host is: "bi01.ibm.com"; destination host is: "bi01.ibm.com":8020;
[dev@bi01 ~]$ klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_5001)
用户 dev 属于 hadoop 组,可以只读访问用户 hdfs 的 keytab 文件,因此可以使用 kinit 通过指定位置的密钥表文件和相应的 principal 获得 Kerberos 认证。用户 dev 获得认证后就可以成功访问 HDFS 服务了。
因此 keytab文件需要确保文件的权限,以保证只有预期的用户可以只读访问。在 /etc/security/keytabs/ 目录下的文件大多数都设置为400权限。hdfs.headless.keytab 缺省是 440 权限,如果改成 400,则用户 dev 则无法用读取用户 hdfs 的 keytab 文件来获得 Kerberos 认证了,只能通过 Kerberos 管理员添加用户 dev 的 principal 和 keytab 文件,并分发到需要的 Hadoop 集群节点上去。
清单 9. 获得 Kerberos 认证后成功访问 HDFS
需要提供有关在配置页面中的KDC和管理帐户信息。这里就是 Kerberos 配置文件 krb5.conf 里面的KDC 和 ADMIN_SERVER 的服务器信息,以及用 kadmin 工具添加管理员的账号信息。
Ambari 除了配置 Hadoop 基本组件,如 HDFS、、MapReduce2、YARN、Hive、HBase 以外,还配置 IBM BigInsights 的增值组件,如 Big SQL、Text Analytics 等。一般使用缺省参数即可。
整个集群服务停止后,就开始进行 Kerberos 配置了。包括创建 Hadoop 组件服务的 Principal,生成和分发 keytab 密钥表文件,Hadoop 集群参数的修改等。
配置结束后,Ambari 会重启整个集群并验证 Kerberos 启用后的集群状况。也可以手动重新启动 HDFS,MapReduce2,YARN,等启动成功后,然后重新启动其他服务。
Kerberos 启用过程会创建和分发 keytab 密钥表文件,缺省目录是 /etc/security/keytabs,这里可以看到 Hadoop 各服务的 keytab 文件。