Kerberos 认证启用推荐
# Kerberos 认证启用
Ranger 安装完成以后,我会先启用 Kerberos。这个顺序比较稳:Ranger 先作为权限中心落地,Kerberos 再把集群认证体系接起来,后面继续安装 HDFS、YARN、Hive、HBase、Kafka 时,就可以按安全集群的方式一路往下做。
本篇使用 Ambari Plus 自带的 Kerberos 向导,在集群主机上安装 KDC。示例环境仍然使用三台 FQDN 主机:
| 角色 | 主机 |
|---|---|
| Ambari Plus Server | hadoop1.test.com |
| KDC | hadoop2.test.com |
| Agent 节点 | hadoop1.test.com、hadoop2.test.com、hadoop3.test.com |
注意
Kerberos 对主机名非常敏感。这里全程使用 hadoop*.test.com,不要在页面里一会儿写短主机名、一会儿写 IP。前面安装准备阶段如果已经把 /etc/hosts 和主机名统一好,这里会顺很多。
# 1. 从权限与审计进入
登录 Ambari Plus 后,左侧进入 权限与审计。这个页面会展示 Kerberos、目录与权限、Ranger 等安全能力的入口。
点击 Kerberos 区域的入口,进入 Kerberos 管理页。首次启用时,页面会提示还没有开启认证能力。
点击 进入 Kerberos 向导,开始配置。
# 2. 选择安装模式
向导第一步选择 Kerberos 模式。本次使用 在集群主机上安装 KDC,也就是由 Ambari Plus 在选定节点上安装并初始化 MIT KDC。
如果企业里已经有独立 KDC 或 FreeIPA,后续可以改成接入外部认证体系。第一次搭建演示环境时,托管 KDC 更容易把链路跑通。
# 3. 配置 KDC 与 Realm
配置页里重点填写 KDC 主机、Realm、KDC 端口和管理员 Principal。
| 配置项 | 示例值 |
|---|---|
| 目标主机 | hadoop2.test.com |
| Realm | TEST.COM |
| KDC 端口 | 88 |
由 Ambari 管理 krb5.conf | 开启 |
| Admin Principal | admin/[email protected] |
| Admin 密码 | Kerberosadmin123 |
Realm 建议使用大写域名形式。这里用 TEST.COM,和主机域名 test.com 对应;生产环境可以换成企业自己的域。
注意
示例密码只是为了教程演示。生产环境请使用高复杂度密码,并把 KDC 管理员凭据放到安全的密码管理系统里。
# 4. 预览启用流程
继续下一步后,向导会展示完整执行清单。这里不要急着点执行,先看一遍任务内容,确认它会安装 KDC、下发客户端、初始化 Realm,并在最后启用 Kerberos。
我在这一步重点看三件事:
| 检查项 | 怎么判断 |
|---|---|
| KDC 主机 | 页面里显示的是 hadoop2.test.com。 |
| Realm | 页面里显示的是 TEST.COM。 |
| 操作范围 | 三台主机都会安装 Kerberos Client。 |
确认无误后点击执行。
# 5. 等待向导执行
Kerberos 启用过程会经历安装、初始化、凭据提交、停止服务、启用安全模式、重新启动服务等步骤。中途不要刷新页面,等任务流自己跑完。
如果某一步失败,先展开失败步骤看日志。最常见的问题通常是主机名解析、KDC 端口、包仓库、管理员密码不一致。
# 6. 确认 Kerberos 已启用
完成页显示 Kerberos 已成功启用,说明集群已经切换到 Kerberos 模式。
回到权限与审计页面后,Kerberos 卡片应该显示已启用。服务列表里也会出现 Kerberos 相关入口;因为它主要是客户端和 KDC 能力,不要只按普通业务服务的“运行中”来理解。
| 检查项 | 通过状态 |
|---|---|
| Kerberos 向导 | 完成页显示启用成功。 |
| 权限与审计 | Kerberos 卡片显示已启用。 |
| 主机组件 | 三台主机都有 Kerberos Client。 |
| 后续安装 | 新增组件会按安全集群方式生成 Principal 和 Keytab。 |
Kerberos 做完以后,继续接入目录服务:LDAP 目录接入。