【Ambari开启Kerberos】Step2-Ambari中开启Kerberos认证

最新推荐文章于 2026-03-02 08:00:00 发布
原创 最新推荐文章于 2026-03-02 08:00:00 发布 · 2.6k 阅读 · 29 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#ambari #hadoop #大数据 #kerberos #Bigtop
#开源 #HDP

danger 温馨提示
ttr-2.0.0 ~ ttr-2.2.0 版本存在部分安装失败问题。
ttr-2.2.1 版本开始,这一问题已被修复并通过多平台验证(包括 Kylin V10、CentOS 7.9、Ubuntu 22.04)。
如在部署中遇到异常,可联系作者进行技术交流。

一、背景与前置条件

写在前面
当前环境:Ambari 3.0.0 + Bigtop 3.2.0,系统为 Kylin V10
对应安装包版本:ttr-2.2.1-preview,Ubuntu 22.04 也已验证通过。
在进入本章节前,你应已完成 KDC 服务的部署(详见 Step1)。

Kerberos 是大数据体系中最重要的认证协议之一,Ambari 启用 Kerberos 的本质,是让各组件(HDFS、YARN、Hive、Kafka、Atlas、Solr
等)能够通过 KDC 统一认证,从而防止伪造身份和非法访问。
Ambari 并不直接实现 Kerberos,而是作为协调者,通过 REST 接口调用 kadminkinit 来分发 keytab 与校验凭证。

二、进入 Kerberos 启用向导

打开 Ambari Web 管理页面,左侧导航栏中可看到 Kerberos 菜单项。

Ambari 左侧菜单 Kerberos 入口

点击进入后,页面会展示认证选项和配置向导。

三、选择认证模式(Existing MIT KDC)

Ambari 提供三种启用模式,分别对应:

  1. Existing MIT KDC — 使用外部已搭建的 KDC;
  2. Existing Active Directory — 集成 AD 域;
  3. Manual — 手动分发 keytab(高级用户使用)。

我们选择第一项:

认证方式选择:Existing MIT KDC

保持勾选所有选项(如自动生成 principal、启用服务检查等),然后点击 Next

选择后默认勾选项

四、填写 KDC 与 Realm 参数

KDC/Realm 参数填写示意

根据 Step1 的配置,在此处填写:

KDC hosts : dev1
Realm name : TTBIGDATA.COM

Kadmin host : dev1
Admin principal: admin/admin@TTBIGDATA.COM
Admin password: admin

参数说明表

参数项示例值说明
KDC hostsdev1KDC 服务主机名
Realm nameTTBIGDATA.COM与 krb5.conf 中保持一致(必须大写)
Kadmin hostdev1KDC 管理端主机名
Admin principaladmin/admin@TTBIGDATA.COM管理员账户
Admin passwordadmin对应上一步创建时的密码

五、连接测试与错误处理

填写完成后点击 Test Connection,Ambari 将尝试执行一次 kinit 登录测试。

5.1 常见失败示例

连接测试失败示例

报错:

kinit.real: Server not found in Kerberos database while getting initial credentials

出现此问题通常有以下几种原因:

  1. KDC 未运行或端口被防火墙阻断(88/749)
  2. krb5.conf 的 default_realm 与此处填写不一致
  3. /etc/hosts 中未配置主机名映射(如 dev1)
  4. KDC 数据库中尚未创建 admin principal。

可回看之前的 Step1 文档重置配置:

相关参考

5.2 测试成功界面

连接测试通过

出现绿色对勾即表示 Ambari 已能正常与 KDC 通信。

六、加密类型适配与兼容性说明

在部分操作系统上,Ambari 与 KDC 默认的加密算法不兼容。
特别是在 非 CentOS 7.9Ubuntu 22.04 系统上,建议手动修改。

加密类型配置页面

推荐加密算法

aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96

提示
若不修改可能导致后续 Keytab 生成时报:
KDC has no support for encryption type while getting initial credentials
具体可以参考 加密类型错误导致的未知报错

七、管理员凭证验证与授权确认

Ambari 会再次请求管理员凭证进行验证:

admin/admin@TTBIGDATA.COM
admin

验证通过后界面如下:

管理员凭证校验成功

说明 kinit 已成功在后台生成票据。此时 Ambari 内部会执行:

kinit -V -k admin/admin@TTBIGDATA.COM

并缓存 ticket 以供后续 keytab 创建使用。

八、预检与变更确认

Ambari 将展示即将应用的安全变更清单。

预览与确认页面

若所有配置无误,点击 Next 继续。
系统随后进入安全模式应用流程。

下一步预览页

九、停止服务与凭证重建

启用 Kerberos 前,Ambari 会自动关闭所有服务组件,以便重新生成 keytab 并注册 principal。

准备停止服务

停止进度监控

已停止状态总览

执行任务明细

停止任务执行明细

完成后状态

停止完成界面

Ambari 将在此阶段自动调用 kadmin 命令为各组件创建 principal,并分发 keytab 至对应路径(一般在 /etc/security/keytabs/)。

十、执行 Kerberos 初始化与分发

Kerberos 执行阶段

该阶段 Ambari 会批量执行以下动作:

  1. 为每个组件生成 keytab;
  2. 向 KDC 写入 principal;
  3. 分发 keytab 至对应主机;
  4. 更新配置文件(core-site.xml, hdfs-site.xml 等)。

若出现轻微警告,可直接忽略并点击 Complete

十一、手动启动服务并验证结果

启用完成后,可看到以下界面:

完成页与手动启动提示

此时建议手动启动各组件。
若有少量组件启动失败,可根据错误日志对照下表进行修复。

十二、已知问题与修复索引

已知问题汇总
Ambari 2.8.x 在 Kerberos 启用后部分服务可能启动异常,主要与 Python2 兼容性和权限有关。

组件报错主题主要原因对应修复文档
Solr启动时报 HTTP 权限拒绝Ambari 自动初始化配置但未授权开启KERBEROS-SOLR启动报错解决
Kafka启动失败缺少环境变量环境变量定义未加载到进程上下文开启KERBEROS-KAFKA启动报错解决
CelebornWORK 目录无写入权限工作目录属主错误开启KERBEROS-CELEBORN启动报错解决
AtlasServer 启动 403principal 短名解析错误开启KERBEROS-ATLAS启动报错解决
Ambari 安装部署教程(手把手教学)【超级详细】
热门推荐
Five的博客
01-06 1万+
本文为读者提供了一套超详细的 Apache Ambari 安装部署教程,采用手把手教学方式,适合初学者及大数据运维人员。内容涵盖前期准备、环境配置、Ambari Server 与 Agent 安装、集群初始化配置、常见问题排查等全流程操作,确保用户能够顺利搭建稳定的 Hadoop 大数据平台管理系统。
Ambari开启Kerberos安全认证
康师傅没有眼泪
05-27 4124
一个 User 或者一个 Service 会用 Principal 到 认证服务器(AS)认证,AS会返回一个用 Principal Key 加密的 TGT(票据授权票据),这时候只有 AS 和 Principal 的使用者可以识别该TGT,User 或者 Service 会使用 Principal 的 Key 来解密 TGT, 并使用解密后的 TGT 去TGS 获取 Service Ticket。在 Kerberos 认证的集群中,只有拿着这个 Service Ticket 才可以访问真正的 Se
Ambari 详细使用案例
qq_37480069的博客
05-24 2520
Ambari 是一款开源的工具,旨在帮助用户管理和监控 AWS 云环境中的虚拟机、容器和其他资源。它提供了一个易于使用的界面,可以帮助用户快速部署和管理云环境中的资源。部署和管理虚拟机和容器。监控和管理云环境中的资源。提供易于使用的界面和 API,方便用户进行资源的管理和监控。支持多种 AWS 服务,如 EC2、EBS、ELB 等。
ambari全攻略流程,认识ambari(一)
u010025966的博客
08-16 7797
ambari介绍 Apache Ambari 项目旨在通过开发用于供应、管理和监控 Apache Hadoop 集群的软件来简化 Hadoop 管理。Ambari 提供了一个直观、易于使用的 Hadoop 管理 Web UI,由其 RESTful API 提供支持。 Ambari 使系统管理员能够: 配置 Hadoop 集群 – Ambari 提供了一个分步向导,用于在任意数量的主机上安装 Hadoop 服务。 – Ambari 为集群处理 Hadoop 服务的配置。 管理 Hadoop 集群 – Amb
基于Ambari搭建大数据分析平台
tangyi2008的专栏
03-13 7371
大数据集群管理方式分为手工方式(Apache hadoop)和工具方式(Ambari + hdp 和Cloudera Manger + CDH)。手工方式太过复杂,是一个艰辛的过程,在企业应用中,一般采用工具部署方式。Ambari和Cloudera Manager这两个系统,目的就是简化Hadoop生态集群的安装、配置,同时提高Hadoop运维效率,以及对Hadoop集群进行监控。
ambari 安装及使用ambari安装hadoop记录
yujianbujianqwe的博客
08-15 3019
Apache Ambari是一种基于Web的工具,支持Apache Hadoop集群的供应、管理和监控。Ambari已支持大多数Hadoop组件,包括HDFS、MapReduce、Hive、Pig、 Hbase、Zookeeper、Sqoop和Hcatalog等。Apache Ambari 支持HDFS、MapReduce、Hive、Pig、Hbase、Zookeepr、Sqoop和Hcatalog等的集中管理。也是5个顶级hadoop管理工具之一。百度百科-验证。
Ambari开启KerberosStep1-KDC服务初始化安装-适合Ubuntu
TTBIGDATA的博客
11-06 1831
本文介绍了在Ubuntu 22.04系统下部署Kerberos KDC服务的完整流程。内容包括:1) 安装核心组件krb5-kdc、krb5-admin-server和krb5-user;2) 配置/etc/krb5.conf文件,定义安全域与服务器信息;3) 创建KDC数据库并设置主密码;4) 启动服务并设置开机自启;5) 创建管理员账户并配置访问控制。特别提醒需注意默认认证域配置,避免使用EXAMPLE.COM导致后续问题,同时针对Ubuntu系统建议额外添加kadmin服务主体以避免报错。该配置为Am
【FreeIPA】 Ambari使用 FreeIPA 做企业认证授权——[Step3]-Ambari开启 Kerberos 认证流程详解
最新发布
TTBIGDATA的博客
03-02 1312
本文详细讲解 Ambari 3.0.0 中开启 Kerberos 认证的完整流程,基于已部署的 FreeIPA(Realm=TEST.COM)环境,演示 Existing IPA 模式配置方法,包括 KDC/Kadmin 填写规范、加密算法选择、Kylin V10 特殊注意事项、Keytab 自动生成过程以及各步骤界面说明,帮助构建稳定可复用的统一认证体系。
【Ranger】 Ambari开启 Kerberos 场景下,Ranger HA 搭建——[Step2] 统一访问域名的 Kerberos 票据生成
TTBIGDATA的博客
02-25 1529
本文介绍了在Kerberos环境中为Ranger Admin高可用集群配置HTTP服务票据的完整流程。主要内容包括:1) 环境说明与HTTP票据需求分析;2) 在KDC服务器上生成支持AES256/AES128加密的HTTP keytab文件;3) 将keytab分发至Ranger Admin节点并设置适当权限。重点强调了高可用场景下统一域名绑定的principal生成方法,以及keytab文件权限管理的安全要求。该方案适用于需要为Ranger Admin Web UI和REST API提供Kerberos
Ambari开启KerberosStep1-KDC服务初始化安装-适合rhel
TTBIGDATA的博客
11-05 1067
本文介绍了在Kylin V10系统上部署Kerberos KDC(Key Distribution Center)的详细步骤。内容包括:安装krb5-server等核心组件,配置krb5.conf定义安全域,创建KDC数据库并设置主密钥,启动krb5kdc和kadmin服务,创建管理员账号并设置ACL权限规则。重点提示了配置与路径的注意事项,不同发行版的差异,以及集群安全认证的必要性。适用于为Ambari集群搭建Kerberos认证基础环境,确保Hadoop组件安全通信。操作涉及关键配置文件修改、服务管理和
ambari启用kerberos
jzy3711的博客
10-03 2835
我这里测试集群,自定义安装了flink,hue,ES,presto等,应在未安装之前启用kerberos,因为amabri是不支持这个自定义kerberos的,需要自己在自定义是配置,或者后期添加配置,我这里是直接先停停掉,在安装的,但是测试集群很多人再用,停止前要和大家商量好。公司的测试集群是amabri安装的,HDP3.1.4版本,前面已经安装好了kerberos主从,现在要在集群上开启kerberos认证。集成kerberos后,kafka访问方式:(必须使用主机名,如果是ip会报错)
什么是Ambari?
weixin_48331187的博客
10-08 994
它提供了一种可扩展的框架来管理大型Hadoop集群,支持Hadoop上许多组件和服务的安装、配置、管理和监控。3. 配置服务检查:使用Ambari Web界面配置服务检查,即指定要监控的服务和相应的检查项。Ambari是一个Hadoop集群管理工具,它提供了监控和告警的功能来帮助用户实时监控集群的运行状态,并在出现问题时发送通知。1. 安装Ambari Agent:在Hadoop集群的每个节点上安装Ambari Agent,该Agent会定期收集节点的指标数据和日志。
Ambari学习笔记-安装Kerberos
snipercai的博客
04-18 1854
Ambari学习笔记-安装Kerberos
Ambari集成Kerberos
kxq的博客
11-12 4222
搭建ambari请参考我的上一篇博客:centos7安装Ambari 2.7.5 + HDP3.1.5 Kerberos搭建 环境: 首先时间一定要同步。 节点 server:hadoop101 client:hadoop102 hadoop103 搭建Kerberos Server kdc服务器包含三个配置文件: # 集群上所有节点都有这个文件而且内容同步 /etc/krb5.conf # 主服务器上的kdc配置 /var/kerberos/krb5kdc/kdc.conf # 能够不直接访问 KDC
【项目实战】基于Web的管理和监控Hadoop集群工具——Ambari入门介绍
奶爸的编程之路,也就一周冷个三天
03-22 2024
Apache Ambari是一种基于Web的工具,它提供了一个易于使用的Web界面 ,是一个强大的开源的集群管理工具,它可以帮助管理员轻松管理和监控Hadoop集群,支持Apache Hadoop集群的供应、管理和监控。
Ambari简介&安装
月苍的博客
01-09 3529
简介 Apache Ambari是一种基于Web的工具,支持Apache Hadoop集群的供应、管理和监控。Ambari目前已支持大多数Hadoop组件,包括HDFS、MapReduce、Hive、Pig、 Hbase、Zookeper、Sqoop和Hcatalog等。 Apache Ambari 支持HDFS、MapReduce、Hive、Pig、Hbase、Zookeper、Sqoop和Hcatalog等的集中管理。也是5个顶级hadoop管理工具之一。 就 Ambari 的作用来说,就是创建、管理、
Ambari上添加Kerberos
a13568hki的博客
11-01 1065
归作者所有:来自51CTO博客作者一语成谶灬的原创作品,请联系作者获取转载授权,否则将追究法律责任。#以上需要在服务端和客户端都配置,可以在服务端配置好以后使用scp拷贝。10、新增用户(add_principal USER)删除用户(delete_principal)三、 在Ambari上添加kerberos。4.在服务端安装krb5-server。在Ambari上添加Kerberos。1.创建kerberos数据库。4.启动服务和设置开机自启。1.开启Kerberos。1.下载jce并解压。
Ambari自动部署hadoop
小郑
06-26 2639
Apache Ambari项目旨在通过开发用于配置,管理和监控Apache Hadoop集群的软件来简化Hadoop管理.Ambari提供了一个由RESTful API支持的直观,易用的Hadoop管理Web Ul。Ambari使系统管理员能够:提供Hadoop集群Ambari提供了跨任意数量的主机安装Hadoop服务的分步向导Ambari处理集群的Hadoop服务配置管理Hadoop集群。
大数据平台之Ambari
youziguo的专栏
06-25 1715
Apache Ambari 是一个用于配置、管理和监控 Hadoop 集群的开源工具。Ambari 提供了一个直观的用户界面和一组全面的 API,使得管理大数据集群变得更加容易和高效。
大数据】一文带你零基础入门Ambari开启大数据管理新征程
大雨淅淅的博客
07-23 1633
Ambari大数据管理平台入门指南》 摘要:Apache Ambari作为Hadoop生态系统的管理利器,通过Web界面简化了集群部署、监控和维护流程。本文系统介绍了Ambari的核心功能与应用场景,包括:1)自动化集群部署与集中监控;2)服务生命周期管理与权限控制;3)详细的环境搭建步骤和界面操作指南;4)通过REST API实现自动化管理;5)常见问题解决方案。文章还提供了动态扩展集群、服务配置优化等实用技巧,帮助读者快速掌握Ambari的高效运维方法,为大数据平台管理提供标准化解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TTBIGDATA

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值