请教大神安装完kerberos有没有遇到过这个告警？

刚刚安装完kerberos，遇到各种问题，系统使用的是redhat 6.7遇到了一个这个告警，不知道什么原因？
第二个问题，hbase安装kerberos,kdc需要配置哪些账户？cdh版本5.9.0,jdk 1.7.0,os:redhat 6.7。多谢各位大神。

sstutu · 发表于 2018-1-2 21:08:53

本帖最后由 sstutu 于 2018-1-2 21:10 编辑

应该是网络协议，一共三个级别，上面说的1.
详细可参考下面

　传输层安全性（TLS）在Cloudera Manager服务器和代理之间的通信中提供加密和身份验证。加密可防止通信侦听，并且身份验证有助于防止恶意服务器或代理在群集中引起问题。

　　Cloudera Manager支持三种级别的TLS安全性。有必要通过配置1级，然后2级TLS才能配置3级加密。配置相互建立，达到3级，这是TLS安全性最强的级别。
级别1（好） - 此级别仅配置浏览器和Cloudera Manager之间以及代理和Cloudera Manager服务器之间的加密通信。请参阅仅为Cloudera Manager配置TLS加密，然后按照级别1：为Cloudera Manager代理配置TLS加密，以获取说明。 1级加密可以防止对代理和Cloudera Manager之间的通信进行窥探。
　　级别2（更好） - 此级别包括代理和服务器之间的加密通信，以及代理对Cloudera Manager服务器证书的强大验证。请参阅第2级：由代理配置Cloudera Manager服务器的TLS验证。级别2通过验证由Cloudera Manager服务器提供的证书的信任，为代理提供额外的安全级别。
　　级别3（最佳） - 代理和服务器之间的加密通信。 3级TLS包括代理和服务器之间的加密通信，由代理对Cloudera Manager服务器证书进行强大的验证，并使用自签名或CA签名的证书将代理验证到Cloudera Manager服务器。请参阅第3级：将代理的TLS验证配置到Cloudera Manager服务器。级别3解决了不受信任的网络场景，您需要防止群集服务器被主机上运行的不受信任的代理人欺骗。 Cloudera建议您在启用Kerberos身份验证之前，为不受信任的网络环境配置3级TLS加密。这提供了Cloudera Manager服务器和集群中经过验证的代理之间的keytab的安全通信。
要启用运行Cloudera Manager管理控制台和Cloudera Manager服务器的Web浏览器之间的所有连接的TLS加密，请参阅Level 1：为Cloudera Manager代理配置TLS加密的前两步。
　　有关如何通过Cloudera Manager代理和Cloudera管理服务守护程序处理HTTPS通信的各个方面的更多详细信息，请参阅Cloudera Manager中的HTTPS通信。

sstutu · 发表于 2018-1-2 21:30:51

可以创建管理员账号，比如创建*/admin@YOUR_EALM，也就是只要带有admin的，都是管理员账号。后面那里用到，那里创建即可。推荐参考：
centos6配置Kerberos认证KDC服务
http://www.aboutyun.com/forum.php?mod=viewthread&tid=23723

js415247240 · 发表于 2018-1-3 10:04:39

sstutu 发表于 2018-1-2 21:30
可以创建管理员账号，比如创建*/admin@YOUR_EALM，也就是只要带有admin的，都是管理员账号。后面那里用到， ...

请教一下，第一个问题是不是需要给zookeeper,hbase，root每一个用户都需要建立一个对应每一个节点的账号的意思么？第二个问题，做keytab文件，需要一个用户做一个keytab文件，还是一个节点做一个文件？

第三个问题，cdh是怎么管理账户的生存周期的？账户过期了需要手动处理么？

nextuser · 发表于 2018-1-3 17:01:46

js415247240 发表于 2018-1-3 10:04
请教一下，第一个问题是不是需要给zookeeper,hbase，root每一个用户都需要建立一个对应每一个节点的账号 ...

个人理解，楼主可以验证下：
第一个问题是不是需要给zookeeper,hbase，root每一个用户都需要建立一个对应每一个节点的账号的意思么？
一个机器一个账号即可，但是每个服务比如hbase或则hadoop配置文件都需要配置，才可以使用kerberos

第二个问题，做keytab文件，需要一个用户做一个keytab文件，还是一个节点做一个文件？
一台机器，你会用不同的用户名使用cloudera吗？一般来说，一个用户对应一个节点。

第三个问题，cdh是怎么管理账户的生存周期的？账户过期了需要手动处理么？
账户一般不存在这个问题。