阅读 371

CDH 6.2.1 集成 freeipa

1.环境(希望大数据工作者 纠正 评论 一起学习 进步)

CDH 安装完毕 freeipa安装完毕  hosts都做了解析,CDH机器所在的dns解析都要修改为freeipa为第一个  CDH节点的dns第一个 需要是freeipa的地址 否则freeipa集成失败

2.CDH节点安装kerberos客户端

yum -y install ipa-client
ipa-client-install --domain=baidu.com --no-ntp --realm=BAIDU.COM -mkhomedir

image.png





image.png




   

   

3.查看freeipa节点



image.png








                            

   4.krb5.conf 

还要 添加此行

 renew_lifetime = 7d

image.png











    



  5.freeipa添加用户(添加cloudera-scm用于CDH的大数据认证)

1.png

2.png3.png4.png5.png

6.生成cloudera-scm用户的keytab(在freeipa机器生成 准备拷贝到CDH的master节点需要用)

image.png


image.png

7.CDH master节点


###需要将第6步骤 生成的 cloudera-scm.keytab 放在当前目录 (/opt/cloudera/freeipa)mkdir   -p  /opt/cloudera/freeipacd  /opt/cloudera/freeipa
vim  getkeytabs.sh#set -eset -x
 
CMKEYTAB="/opt/cloudera/freeipa/cloudera-scm.keytab"CMUSER="cloudera-scm"REALM="BAIDU.COM"IPASERVER="www.baidu.com"
 DEST="$1"FULLPRINC="$2"
 # Passwd based kinit#echo PASSWORD | kinit $CMUSER@$REALM
 # Or per keytab (keytab needs to be generated before)kinit -k -t $CMKEYTAB $CMUSER@$REALM
 PRINC=$( echo $FULLPRINC | sed "s/\@$( echo $REALM )//" )
 echo $PRINC
 echo Retrieving keytab for $FULLPRINC for $DEST
 echo Checking for existing service principleif ipa service-find $FULLPRINC; then
        echo Service principle foundelse
        echo Service principle not created, creating
        ipa service-add $FULLPRINC --pac-type=NONEfi
 echo Ensuring service allows
ipa service-allow-create-keytab --users=$CMUSER $FULLPRINCipa service-allow-retrieve-keytab --users=$CMUSER $FULLPRINC
 if ipa service-show $FULLPRINC | grep 'Keytab' | grep 'False'; then
        echo Creating keytab for $FULLPRINC for $DEST
        ipa-getkeytab -s $IPASERVER -p $PRINC -k $DEST -e rc4-hmac,aes256-cts,aes128-ctselse
        echo Retrieving keytab for $FULLPRINC for $DEST
        ipa-getkeytab -r -s $IPASERVER -p $PRINC -k $DESTfi
 chmod 600 $DEST
 kdestroy 
exit 0;

image.png

上述文件的权限需要注意 否则kerberos集成会失败

CDH使用freeipa 根据官网得知道需要做一个sed 命令 如下 不然无法集成

https://docs.cloudera.com/documentation/director/latest/topics/director_create_kerberized_cluster.html

sed -i '/kinit/i exit 0'   /opt/cloudera/cm/bin/import_credentials.sh

image.png

10.png11.png


12.png13.png14.png15.png16.png

16.png17.png18.png19.png

20.png




1.No Java JDK is detected on the host

CDH侦测不到节点的jdk

因为是自己部署的jdk  JAVA_HOME=/opt/jdk

但是cdh 默认是以  JAVA_HOME=/usr/java/default

所以  ln -s  /opt/jdk   /usr/java/default

做出如下就该即可  如果不想麻烦 直接jdk的JAVA_HOME 修改为/usr/java/default 最好了  然后重启服务  jdk 就可以侦测到了

image.png

2.CDH 启用freeipa 也就是kerberos以后发现sentry无法启动  类似数据scherma的报错

解决办法

image.png

image.png

HUE集成sentry

hue_1.pnghue_2.pnghue_3.pnghue_4.pnghue_5.pnghue_6.png




©著作权归作者所有:来自51CTO博客作者小小三郎1的原创作品,如需转载,请注明出处,否则将追究法律责任


文章分类
后端
文章标签
cdh
6.2.1
freeipa
版权声明:本站是系统测试站点,无实际运营。本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 XXXXXXo@163.com 举报,一经查实,本站将立刻删除。
相关推荐