# CDH5.X如何安裝配置Kerberos認證
## 目錄
1. [Kerberos認證概述](#kerberos認證概述)
2. [環境準備](#環境準備)
3. [Kerberos服務端安裝配置](#kerberos服務端安裝配置)
4. [CDH集群集成Kerberos](#cdh集群集成kerberos)
5. [常見問題排查](#常見問題排查)
6. [最佳實踐建議](#最佳實踐建議)
7. [總結](#總結)
---
## Kerberos認證概述
### 1.1 什么是Kerberos
Kerberos是一種計算機網絡認證協議,由MIT開發,通過使用密鑰加密技術為客戶端/服務器應用提供強身份驗證...
(詳細解釋Kerberos工作原理:KDC、TGT、Service Ticket等概念)
### 1.2 CDH安全機制演進
- CDH 4.x之前:簡單認證
- CDH 5.x引入:完整Kerberos集成
- Sentry/Ranger的權限控制依賴
### 1.3 為什么需要Kerberos
- 防止偽裝攻擊(Impersonation)
- 滿足合規要求(如GDPR)
- 企業級安全基線
---
## 環境準備
### 2.1 系統要求
```bash
# 示例:檢查系統版本
cat /etc/redhat-release
# CentOS 7.6+
# /etc/hosts 示例
192.168.1.100 cdh-master.example.com cdh-master
192.168.1.101 cdh-worker1.example.com cdh-worker1
# 關鍵步驟
yum install -y ntp
systemctl enable ntpd
ntpdate pool.ntp.org
# CentOS/RHEL
yum install -y krb5-server krb5-libs krb5-workstation
/etc/krb5.conf 示例:
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
[realms]
EXAMPLE.COM = {
kdc = cdh-master.example.com
admin_server = cdh-master.example.com
}
kdb5_util create -s -r EXAMPLE.COM
# 輸入主密碼
systemctl start krb5kdc kadmin
systemctl enable krb5kdc kadmin
<!-- core-site.xml -->
<property>
<name>hadoop.security.authentication</name>
<value>kerberos</value>
</property>
# 生成yarn principal
kadmin -q "addprinc yarn/cdh-master.example.com"
# 獲取Ticket示例
kinit hdfs/admin@EXAMPLE.COM
klist # 驗證
GSSException: No valid credentials provided (Mechanism level: Clock skew too great)
解決方案:
ntpdate -u pool.ntp.org
確保所有節點: - 正確配置/etc/hosts - 反向DNS解析正常
