TT Bigdata TT Bigdata
首页
  • 部署专题

    • 常规安装
    • 一键部署
  • 组件专题

    • 安装指导
    • 魔改分享
  • 高阶玩法

    • 实战 Kerberos
    • 实战 Ranger
  • 版本专题

    • 更新说明
    • BUG临时处理
  • 实验室

    • VIEW插件
    • JIRA速查
  • Ambari-Env

    • 环境准备
    • 开始使用
  • 二开指导

    • 前端开发
    • 后端开发
  • 组件编译

    • 专区—Ambari
    • 专区—Bigtop-官方组件
    • 专区—Bigtop-扩展组件
  • 报错解决

    • 专区—Ambari
    • 专区—Bigtop
  • 其他技巧

    • APT仓库增量更新
    • Maven镜像加速
    • Gradle镜像加速
    • Bower镜像加速
    • 虚拟环境思路
    • R环境安装+一键安装脚本
    • Ivy配置私有镜像仓库
    • Node.js 多版本共存方案
    • Ambari Web本地启动
    • Npm镜像加速
    • PostgreSQL快速安装
    • Temurin JDK 23快速安装
  • 成神之路

    • 专区—Ambari
    • 专区—Ambari-Metrics
    • 专区—Bigtop
  • 集成案例

    • Redis集成教学
    • Dolphin集成教学
    • Doris集成教学
    • 持续整理...
  • 核心代码

    • 各组件代码
    • 通用代码模板
  • 国产化&其他系统

    • Kylin V10系列
    • Rocky系列
    • Ubuntu系列
  • Grafana监控方案

    • Ambari-Metrics插件
    • Infinity插件
  • 优化增强

    • 组件配置调优
  • 支持&共建

    • 蓝图愿景
    • 合作共建
    • 服务说明
登陆
GitHub (opens new window)

JaneTTR

数据酿造智慧,每一滴都是沉淀!
首页
  • 部署专题

    • 常规安装
    • 一键部署
  • 组件专题

    • 安装指导
    • 魔改分享
  • 高阶玩法

    • 实战 Kerberos
    • 实战 Ranger
  • 版本专题

    • 更新说明
    • BUG临时处理
  • 实验室

    • VIEW插件
    • JIRA速查
  • Ambari-Env

    • 环境准备
    • 开始使用
  • 二开指导

    • 前端开发
    • 后端开发
  • 组件编译

    • 专区—Ambari
    • 专区—Bigtop-官方组件
    • 专区—Bigtop-扩展组件
  • 报错解决

    • 专区—Ambari
    • 专区—Bigtop
  • 其他技巧

    • APT仓库增量更新
    • Maven镜像加速
    • Gradle镜像加速
    • Bower镜像加速
    • 虚拟环境思路
    • R环境安装+一键安装脚本
    • Ivy配置私有镜像仓库
    • Node.js 多版本共存方案
    • Ambari Web本地启动
    • Npm镜像加速
    • PostgreSQL快速安装
    • Temurin JDK 23快速安装
  • 成神之路

    • 专区—Ambari
    • 专区—Ambari-Metrics
    • 专区—Bigtop
  • 集成案例

    • Redis集成教学
    • Dolphin集成教学
    • Doris集成教学
    • 持续整理...
  • 核心代码

    • 各组件代码
    • 通用代码模板
  • 国产化&其他系统

    • Kylin V10系列
    • Rocky系列
    • Ubuntu系列
  • Grafana监控方案

    • Ambari-Metrics插件
    • Infinity插件
  • 优化增强

    • 组件配置调优
  • 支持&共建

    • 蓝图愿景
    • 合作共建
    • 服务说明
登陆
GitHub (opens new window)
  • 【方案一】自建 Kerberos 认证体系

    • KDC服务初始化安装

    • 开启Kerberos认证

      • Ambari 中开启 Kerberos 认证流程详解
      • [不看会报错]-Atlas开启准备工作
        • 一、HBase 权限准备(Atlas 首要依赖)
          • 1、初始化 HBase 身份凭证
        • 二、修复 Solr 访问 401(Atlas 搜索能力依赖)
          • 1、修改 atlas-env.sh,开启 Solr Kerberos HTTPClient
        • 三、Kafka 授权(Atlas Hook 通道必备)
          • 1、授权消费组权限(Group)
          • 2、授权 Topic 消费权限(ATLAS_HOOK)
          • 3、授权 Topic 写入权限(ATLAS_ENTITIES)
      • [不看会报错]-Zeppelin开启准备工作
      • [不看会报错]-Impala开启准备工作
      • [不看会报错]-Trino开启准备工作
    • 关闭Kerberos认证

  • 【方案二】FreeIPA认证体系——生产推荐

  • 其他优化技巧

  • 部分组件踩坑合集

  • 实战技巧

  • 其他技巧

  • 组件安装-Kerberos
  • 【方案一】自建 Kerberos 认证体系
  • 开启Kerberos认证
JaneTTR
2025-11-09
目录

[不看会报错]-Atlas开启准备工作

# 一、HBase 权限准备(Atlas 首要依赖)

Atlas 开启 Kerberos 后,最先暴露的问题通常是 向 HBase 写入元数据失败。
因此,第一件事就是给 Atlas 主体分配 HBase 权限。

操作说明

执行 HBase 授权前,需要先用 hbase.service.keytab 完成 kinit。

# 1、初始化 HBase 身份凭证

kinit -kt /etc/security/keytabs/hbase.service.keytab hbase/dev1@TTBIGDATA.COM
echo "grant 'atlas','RWXCA','@default'" | hbase shell -n
1
2

授权后 Atlas 才能正常向 HBase 写入实体、类型、关系等元数据。

如果权限缺失,将触发:

  • Atlas 启动失败
  • 无法写入实体
  • HBase 返回权限不足(AccessDeniedException)

更多报错可参考:

Atlas启动-Hbase权限异常

# 二、修复 Solr 访问 401(Atlas 搜索能力依赖)

完成 HBase 权限后,Atlas 会继续初始化搜索索引。 此时如果出现 Solr 401 Unauthorized,说明 Solr 的 HTTPClient 还未启用 Kerberos。

相关排查请参考:

Atlas启动-Solr权限异常

# 1、修改 atlas-env.sh,开启 Solr Kerberos HTTPClient

找到 Ambari 模板:

/usr/bigtop/current/atlas-server/conf/atlas-env.sh
1

在启用 Kerberos 的区块中加入:

{% if security_enabled %}
export ATLAS_OPTS="{{metadata_opts}} \
-Dzookeeper.sasl.client.username={{zk_principal_user}} \
-Djava.security.auth.login.config={{atlas_jaas_file}} \
-Dsolr.kerberos.jaas.appname=Client \
-Djavax.security.auth.useSubjectCredsOnly=false \
-Dsolr.httpclient.builder.factory=org.apache.solr.client.solrj.impl.Krb5HttpClientBuilder \
-Dsun.security.krb5.debug=true"
{% else %}
export ATLAS_OPTS="{{metadata_opts}}"
{% endif %}
1
2
3
4
5
6
7
8
9
10
11

版本提示

若 Atlas 使用 2.2.1 及以上版本,此段配置已经在 Ambari 中适配,无需重复添加。

# 三、Kafka 授权(Atlas Hook 通道必备)

Atlas 的 Hook 依赖 Kafka 完成通知分发:

  • Hive Hook → Kafka → Atlas
  • HBase Hook → Kafka → Atlas

因此若 Kafka ACL 未配置,Atlas 会报:

  • GroupAuthorizationException
  • TopicAuthorizationException

下面三步是启用 Kerberos 后必做的 ACL 授权。

# 1、授权消费组权限(Group)

./kafka-acls.sh \
  --authorizer-properties zookeeper.connect=dev1:2181,dev2:2181,dev3:2181 \
  --add --allow-principal "User:atlas" \
  --group atlas --operation Read --operation Describe --resource-pattern-type LITERAL
1
2
3
4

# 2、授权 Topic 消费权限(ATLAS_HOOK)

./kafka-acls.sh \
  --authorizer-properties zookeeper.connect=dev1:2181,dev2:2181,dev3:2181 \
  --add --allow-principal "User:atlas" \
  --topic ATLAS_HOOK --operation Read --operation Describe --resource-pattern-type LITERAL
1
2
3
4

# 3、授权 Topic 写入权限(ATLAS_ENTITIES)

./kafka-acls.sh \
  --authorizer-properties zookeeper.connect=dev1:2181,dev2:2181,dev3:2181 \
  --add --allow-principal "User:atlas" \
  --topic ATLAS_ENTITIES --operation Write --operation Describe --resource-pattern-type LITERAL
1
2
3
4

Kafka 相关报错分析可参考:

Atlas启动-Kafka权限异常

#Ambari#Kerberos#KDC#ACL#KDCKerberosOperationHandler#krb5.conf#KERBEROS_SERVICE_CHECK#DNS Realm映射
Ambari 中开启 Kerberos 认证流程详解
[不看会报错]-Zeppelin开启准备工作

← Ambari 中开启 Kerberos 认证流程详解 [不看会报错]-Zeppelin开启准备工作→

最近更新
01
Ranger Admin LDAP 认证报 Bad credentials 分析
02-15
02
Ranger Admin LDAP 认证报 Bad credentials 处理
02-15
03
Ranger Admin 证书快速导入脚本
02-15
更多文章>
Theme by Vdoing | Copyright © 2017-2026 JaneTTR | MIT License
  • 跟随系统
  • 浅色模式
  • 深色模式
  • 阅读模式