HBase + Kerberos 配置示例(一)

Morven.Huang發表於2015-05-14

用過hbase的朋友可能都有過這樣的疑問,我寫一個java client,好像就提供了zookeeper quorum地址就連上hbase了,那麼是不是存在安全問題?的確是,如何解決?hbase中引入了kerberos認證。我準備用兩篇博文介紹hbase + kerberos的相關內容,本篇主要介紹kerberos的配置。

環境準備

這裡我準備了三臺server,各自安裝上centos 6.5 64bit

  • kb1: kerberos server
  • kbhbase1: kerberos client, 後續也用於安裝執行HBase
  • kbjavatest1: kerberos client, 後續將在其上部署java程式訪問kbhbase1上的hbase資料庫

kerberos簡介

kerberos簡單來說就是一套完全控制機制,它有一箇中心伺服器(KDC),KDC中有資料庫,你可以往裡新增各種“人”以及各種“服務”的“身份證”,當某個人要訪問某個服務時,他拿著自己的“身份證”聯絡KDC並告訴KDC他想要訪問的服務,KDC經過一系列驗證步驟,最終依據驗證結果允許/拒絕這個人訪問此服務。關於kerberos具體的工作流程,參見文章《Explain like I’m 5: Kerberos》

kerberos server配置

安裝

#yum install krb5-libs krb5-server krb5-workstation

配置

1)#vim /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 default_realm = MH.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true 

[realms]
 MH.COM = {
  kdc = kb1.mh.com:88
  admin_server = kb1.mh.com:749
 } 

[domain_realm]
 .mh.com = MH.COM
 mh.com = MH.COM
View Code

2)#vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 MH.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
View Code

kerberos中的realm,即kerberos的域,類似於計算機網路中"domain"的概念。

3)#vim /var/kerberos/krb5kdc/kadm5.acl

這個檔案是用來控制哪些人可以使用kadmin工具來管理kerberos資料庫,我這裡就配了一行:

*/admin@MH.COM *

其中前一個*號是萬用字元,表示像名為“abc/admin”或“xxx/admin”的人都可以使用此工具(遠端或本地)管理kerberos資料庫,後一個*跟許可權有關,*表示所有許可權,還可以進行更細的控制,參見ACL

4)#kdb5_util create -s
初始化一個kerberos資料庫。

5)現在資料庫是空的,想要使用kadmin新增一個人到資料庫中,這是需要許可權的,那麼最開始的那一個人是怎麼加到資料庫中的?這就需要kadmin.local這個工具,這個工具只能在kerberos server上執行(類似於oracle中的sys使用者無密碼登入)。
#kadmin.local -q "addprinc admin/admin"
我這裡把管理員叫“admin/admin”,你可以叫任何名字,但是因為此前我們在kadm5.acl中的配置,名字必須以/admin結尾。過程中會提示你輸入兩次密碼,記住這個密碼,當你在別的機器連線kadmin時,需要這個密碼。

啟動

  • #service krb5kdc start
  • #service kadmin start
  • #chkconfig krb5kdc on
  • #chkconfig kadmin on

驗證

  • #kinit admin/admin

如果kinit不帶引數,則會預設以當前作業系統使用者名稱,比如root,作為名稱。因為root在kerberos的資料庫中並沒有,所以會提示失敗

  • #klist

正常應該顯示:

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: admin/admin@MH.COM

Valid starting     Expires            Service principal

04/10/15 13:03:36  04/11/15 13:03:36  krbtgt/MH.COM@MH.COM

        renew until 04/10/15 13:03:36

以下這兩個應該不是必須的,與相容性有關,ktadd命令會把“身份證”寫入到檔案(.keytab字尾),可以指定keytab檔案,如不指定,預設寫入/etc/krb5.keytab

  • kadmin.local: ktadd kadmin/admin
  • kadmin.local: ktadd kadmin/changepw

其它一些命令

  • #kdestroy,退出當前kerberos使用者,即你最後使用kinit過的那個使用者
  • kadmin.local>listprincs 列出所有存在資料庫中的人或服務
  • kadmin.local>delprinc zookeeper/kbhbase1.mh.com@MH.COM 刪除人或服務
  • kadmin.local>addprinc admin/admin 新增人或服務
  • kadmin.local>q 退出kadmin
  • kadmin:  addprinc -randkey root/kbhbase1.mh@MH.COM
  • kadmin:  xst -k root.keytab root/kbhbase1.mh.com
  • # klist -kt root.keytab 列出這個keytab中儲存的所有人或服務

一般在例項使用中通過kinit的方式較少,因為每次都要輸入密碼,所以更經常使用的是keytab檔案,相當於為某個人或服務生成一個密碼,並放在檔案中,程式中則指向這個keytab,不用每次都輸入密碼。

kerberos client配置

現在,我們到kbhbase1這臺機器上,即我們的kerberos 客戶端上。kerberos對伺服器跟客戶端之間的時間有要求,所以一般需要安裝ntp來作時間同步,我這裡直接手工同步了一下,就不再介紹ntp了。 #yum install krb5-libs krb5-workstation 注意與kerberos server上的yum命令對比。安裝完成後把server上的krb5.conf檔案拷貝過來覆蓋一下即可。注意:

  • kb1和kbhbase1的/etc/hosts檔案都要把各自以及對方新增上去
  • 關閉這兩個server上的防火牆
    • #service iptables stop
    • #chkconfig iptables off

與在server上類似,使用kinit和klist檢視一下。也可以嘗試執行kadmin,按提示使用admin/admin並輸入密碼(你之前建立管理員時輸入的密碼),正常應該能夠連線上伺服器,並對資料庫進行操作(比如新增或刪除人、服務)。


送書了,送書了,關注公眾號“程式設計師雜書館”,送出O'Reilly《Spark快速大資料分析》紙質書(亦有一批PDF分享)! —— 2018年12月

相關文章