TT Bigdata TT Bigdata
首页
  • 部署专题

    • 常规安装
    • 一键部署
  • 组件专题

    • 安装指导
    • 魔改分享
  • 高阶玩法

    • 实战 Kerberos
    • 实战 Ranger
  • 版本专题

    • 更新说明
    • BUG临时处理
  • 实验室

    • VIEW插件
    • JIRA速查
  • Ambari-Env

    • 环境准备
    • 开始使用
  • 二开指导

    • 前端开发
    • 后端开发
  • 组件编译

    • 专区—Ambari
    • 专区—Bigtop-官方组件
    • 专区—Bigtop-扩展组件
  • 报错解决

    • 专区—Ambari
    • 专区—Bigtop
  • 其他技巧

    • APT仓库增量更新
    • Maven镜像加速
    • Gradle镜像加速
    • Bower镜像加速
    • 虚拟环境思路
    • R环境安装+一键安装脚本
    • Ivy配置私有镜像仓库
    • Node.js 多版本共存方案
    • Ambari Web本地启动
    • Npm镜像加速
    • PostgreSQL快速安装
    • Temurin JDK 23快速安装
  • 成神之路

    • 专区—Ambari
    • 专区—Ambari-Metrics
    • 专区—Bigtop
  • 集成案例

    • Redis集成教学
    • Dolphin集成教学
    • Doris集成教学
    • 持续整理...
  • 核心代码

    • 各组件代码
    • 通用代码模板
  • 国产化&其他系统

    • Kylin V10系列
    • Rocky系列
    • Ubuntu系列
  • Grafana监控方案

    • Ambari-Metrics插件
    • Infinity插件
  • 优化增强

    • 组件配置调优
  • 支持&共建

    • 蓝图愿景
    • 合作共建
    • 服务说明
登陆
GitHub (opens new window)

JaneTTR

数据酿造智慧,每一滴都是沉淀!
首页
  • 部署专题

    • 常规安装
    • 一键部署
  • 组件专题

    • 安装指导
    • 魔改分享
  • 高阶玩法

    • 实战 Kerberos
    • 实战 Ranger
  • 版本专题

    • 更新说明
    • BUG临时处理
  • 实验室

    • VIEW插件
    • JIRA速查
  • Ambari-Env

    • 环境准备
    • 开始使用
  • 二开指导

    • 前端开发
    • 后端开发
  • 组件编译

    • 专区—Ambari
    • 专区—Bigtop-官方组件
    • 专区—Bigtop-扩展组件
  • 报错解决

    • 专区—Ambari
    • 专区—Bigtop
  • 其他技巧

    • APT仓库增量更新
    • Maven镜像加速
    • Gradle镜像加速
    • Bower镜像加速
    • 虚拟环境思路
    • R环境安装+一键安装脚本
    • Ivy配置私有镜像仓库
    • Node.js 多版本共存方案
    • Ambari Web本地启动
    • Npm镜像加速
    • PostgreSQL快速安装
    • Temurin JDK 23快速安装
  • 成神之路

    • 专区—Ambari
    • 专区—Ambari-Metrics
    • 专区—Bigtop
  • 集成案例

    • Redis集成教学
    • Dolphin集成教学
    • Doris集成教学
    • 持续整理...
  • 核心代码

    • 各组件代码
    • 通用代码模板
  • 国产化&其他系统

    • Kylin V10系列
    • Rocky系列
    • Ubuntu系列
  • Grafana监控方案

    • Ambari-Metrics插件
    • Infinity插件
  • 优化增强

    • 组件配置调优
  • 支持&共建

    • 蓝图愿景
    • 合作共建
    • 服务说明
登陆
GitHub (opens new window)
  • 【方案一】自建 Kerberos 认证体系

  • 【方案二】FreeIPA认证体系——生产推荐

    • FreeIPA服务端初始化

    • FreeIPA客户端初始化及Ambari开启IPA认证

      • [Step1]-FreeIPA Client 安装与入域实战
      • [Step2]-FreeIPA 初始化核心用户
      • [Step3]-Ambari 中开启 Kerberos 认证流程详解
        • 一、开启 Kerberos 向导入口与模式选择
          • 1.1 选择 Existing IPA 模式
          • 1.2 勾选必要选项
        • 二、KDC 与 Realm 基础信息配置
          • 2.1 核心参数填写规范
          • 2.2 Kadmin 配置
        • 三、加密算法配置(Kylin V10 特别注意)
        • 四、Kerberos 启用流程分阶段说明
          • 4.1 预检查阶段
          • 4.2 配置预览阶段
          • 4.3 Keytab 列表下载阶段
          • 4.4 停止服务阶段
          • 4.5 创建 Principal 与 Keytab
          • 4.5.1 Keytab 创建示例
          • 4.5.2 FreeIPA 中验证 principal
        • 五、完成阶段与最终状态
      • [Step3-1]-krb5-conf template调整
    • 部分踩坑-问题发现

    • 部分踩坑-完美解决

    • 辅助测试

  • 其他优化技巧

  • 部分组件踩坑合集

  • 实战技巧

  • 其他技巧

  • 组件安装-Kerberos
  • 【方案二】FreeIPA认证体系——生产推荐
  • FreeIPA客户端初始化及Ambari开启IPA认证
JaneTTR
2026-02-14
目录

[Step3]-Ambari 中开启 Kerberos 认证流程详解

需要 ttr-release 版本 >= 2.2.3

Ambari 3.0.0 + Free IPA 统一认证体系 支持 Kylin / Ubuntu / Rocky 等系统 本文示例环境:Kylin V10 SP3 x86,Realm = TEST.COM

# 一、开启 Kerberos 向导入口与模式选择

在 Ambari 首页点击 Enable Kerberos,进入认证向导。

界面如下:

image-20260214204232348

点击开启后弹出配置窗口:

image-20260214204300274

# 1.1 选择 Existing IPA 模式

在认证方式中选择:

Existing IPA

原因:

  • 已部署 FreeIPA
  • Realm 已存在
  • 不使用 MIT KDC 内置模式

# 1.2 勾选必要选项

下方三个选项全部勾选,然后点击 Next。

界面如下:

image-20260214204503339

# 二、KDC 与 Realm 基础信息配置

该步骤决定后续是否能够顺利生成 principal 与 keytab。

# 2.1 核心参数填写规范

参数 填写内容 说明
KDC Hosts ipa.test.com IPA 服务器地址
Realm Name TEST.COM 必须全部大写
Domains test.com 必填

注意

Realm 必须全大写,否则后续 principal 生成失败。 Domains 必须填写,否则流程无法继续。

# 2.2 Kadmin 配置

参数 填写内容
Kadmin Host ipa.test.com
Admin Principal admin
Admin Password Ttbigdata@2026

验证方式:

kinit admin
1

只要在任意节点执行 kinit admin 能成功获取票据,说明配置正确。

界面示例:

image-20260214211834251

# 三、加密算法配置(Kylin V10 特别注意)

在 Kylin V10 环境下,必须明确指定加密算法,否则可能报错。

image-20260214204943699

推荐填写:

aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
1

必须注意,满足任一条目都会导致后续流程报错终止。

  • ttr-release 低于 2.2.3
  • 官方Ambari开源代码(Github上)
  • 其他组织个人发布的版本等

具体修改可参考:krb5-conf template调整

image-20260214205552372

# 四、Kerberos 启用流程分阶段说明

点击 Next 后,进入执行阶段。

# 4.1 预检查阶段

系统自动校验:

  • KDC 连通性
  • Admin Principal 权限
  • 组件状态

运行成功示例:

image-20260214210150824

# 4.2 配置预览阶段

该步骤可查看 principal 生成列表。

界面如下:

image-20260214210222720

# 4.3 Keytab 列表下载阶段

可以下载 CSV 文件,也可跳过。

image-20260214210252596

# 4.4 停止服务阶段

该步骤会停止当前集群组件。

速度取决于:

  • 已安装组件数量
  • 服务复杂度
  • 是否使用定制版本

示例:

image-20260214210341172

# 4.5 创建 Principal 与 Keytab

Ambari 将自动:

  • 创建 service principal
  • 分发 keytab
  • 修改配置文件
  • 设置权限

界面如下:

image-20260214210652428

# 4.5.1 Keytab 创建示例

image-20260214210931406

# 4.5.2 FreeIPA 中验证 principal

在 FreeIPA Web 控制台中可查看自动生成的 principal:

image-20260214210804442

image-20260214210831005

# 五、完成阶段与最终状态

最后一步执行完成:

image-20260214211126136

返回首页后,可以看到 Kerberos 已启用:

image-20260214211224313

#Ambari#Kerberos#FreeIPA#Realm#KDC#Keytab
[Step2]-FreeIPA 初始化核心用户
[Step3-1]-krb5-conf template调整

← [Step2]-FreeIPA 初始化核心用户 [Step3-1]-krb5-conf template调整→

最近更新
01
Ranger Admin LDAP 认证报 Bad credentials 分析
02-15
02
Ranger Admin LDAP 认证报 Bad credentials 处理
02-15
03
Ranger Admin 证书快速导入脚本
02-15
更多文章>
Theme by Vdoing | Copyright © 2017-2026 JaneTTR | MIT License
  • 跟随系统
  • 浅色模式
  • 深色模式
  • 阅读模式