默认安装好的Cloudera CDH是没有启用security的。在非security的CDH环境中,至少会存在以下安全隐患:
1. 任何可以登录到RegionServer节点上的用户,都可以运行”hbase shell”名命令进入到hbase的shell,并且可以完全控制所有的table。
2. 通过HUE创建的用户,如果被授予了读写数据库的权限,那么他就可以完全控制所有的table。
3. 更严重的隐患,只需要知道任何一个ZooKeeper的IP地址,那么就可以在集群以外的位置运行通过HBase API实现的代码来完全控制HBase。
需要解决以上隐患,我们必须在CDH中启用security。CDH使用Kerberos作为Authentication和Authorization的工具。本篇文章主要介绍如何在CDH上启用Kerberos,以及启用Kerberos后出现的各种问题和解决方法。
一.启用Kerberos
1.安装Kerberos服务端
首先需要找一台主机安装Kerberos服务端。建议可以在运行Cloudera Manager的主机上安装。运行以下命令:
sudo apt-get install krb5-kdc
sudo apt-get install krb5-admin-server2.配置Kerberos服务端
先创建新的数据库,执行以下命令,注意一定要记住设置的密码:
sudo krb5_newrealm#kadminlocal
addprinc cloudera-scm/admin修改ACL文件,使该principal具有管理员权限。修改/etc/krb5kdc/kadm5.acl文件,内容如下:
# This fileIs the access control list for krb5 administration.
# When this fileis edited run /etc/init.d/krb5-admin-server restart to activate
# One common way to set up Kerberos administration isto allow any principal
# ending in /admin is given full administrative rights.
# To enable this, uncomment the following line:
*/admin *
cloudera-scm/[email protected] *3.安装Kerberos客户端
在CDH的所有节点上安装Kerberos客户端,运行以下命令:
sudo apt-get install krb5-user4.在集群上启用Kerberos
二.问题解决
启用Kerberos后,原来运行正常的集群会出现各种因为Security导致的问题。下面把碰到的问题和解决的方法做一个简单的描述。
1.启用Kerberos后,ZeeKeeper服务无法启动
2.通过HUE界面创建的Workflow在提交时直接失败,并且没有Job日志
问题分析:通过查看JobHistory的日志发现,该问题是在尝试创建Job日志时,没有权限写/yarn/nm/usercache/
3.通过HUE界面无法查看HBase的table
4.在Hbase Shell中,没有权限运行任何命令
5.包含Sqoop的Workflow在提交后,状态为PREP,之后报错
6.Sqoop任务失败,日志提示“Hbase jars are not present in classpath, cannot import to hbase”
7.Sqoop任务失败,日志提示没有权限在Hbase中执行”CREATE”
grant'oozie', 'RWC'将来可能还会发现更多问题。到时候再列出来。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/219959.html<
