前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何为Hive2启用Kerberos认证

如何为Hive2启用Kerberos认证

作者头像
Fayson
发布2018-07-12 15:53:56
2.7K0
发布2018-07-12 15:53:56
举报
文章被收录于专栏:Hadoop实操

温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。

Fayson的github: https://github.com/fayson/cdhproject

提示:代码块部分可以左右滑动查看噢

1.文档编写目的


在前面的文章Fayson介绍了《如何在CDH集群中安装Hive2.3.3》,本篇文章Fayson主要介绍如何为已安装好的Hive2服务启用Kerberos认证。

  • 内容概述:

1.部署环境说明

2.添加Kerberos配置

3.验证Kerberos认证

4.总结

  • 测试环境:

1.CM和CDH版本为5.14.2

2.操作系统为RedHat7.3

3.操作用户root

4.集群已启用Kerberos

5.Hive2.3.3

  • 前置条件:

1.Hive2.3.3服务已安装部署

2.环境部署说明


Hive2.3.3服务的HiveMetastore和HiveServer2的部署说明

cdh02.fayson.com

HiveMetastore

cdh03.fayson.com

HiveServer2

1.创建cdh02和cdh03节点的Kerberos账号

代码语言:javascript
复制
kadmin.local -q "addprinc -randkey hive/cdh02.fayson.com@FAYSON.COM"
kadmin.local -q "addprinc -randkey hive/cdh03.fayson.com@FAYSON.COM"

(可左右滑动)

2.将创建的两个Kerberos账号导出为Keytab文件

代码语言:javascript
复制
kadmin.local -q "xst -norandkey -k hivemetastore.keytab hive/cdh02.fayson.com@FAYSON.COM"
kadmin.local -q "xst -norandkey -k hiveserver2.keytab hive/cdh03.fayson.com@FAYSON.COM"

(可左右滑动)

3.将生成的两个keytab文件分别拷贝至cdh02和cdh03节点

将hivemetastore.keytab拷贝至cdh02.fayson.com节点的/opt/cloudera/hive2.3.3/keytab目录并重命名为hive.keytab,若目录不存则创建,并将hive.keytab文件的属组修改为hive

将hiveserver2.keytab拷贝至cdh03.fayson.com节点的/opt/cloudera/hive2.3.3/keytab目录并重命名为hive.keytab,若目录不存则创建,并将hive.keytab文件的属组修改为hive

3.修改hive-site.xml配置


1.在hive-stie.xml配置文件中增加HiveMestastore和HiveServer2的Kerberos配置

代码语言:javascript
复制
<!--HiveMetastore服务的Kerberos配置信息 -->
<property>
  <name>hive.metastore.sasl.enabled</name>
  <value>true</value>
</property>
<property>
  <name>hive.metastore.kerberos.principal</name>
  <value>hive/_HOST@FAYSON.COM</value>
</property>
<property>
  <name>hive.metastore.kerberos.keytab.file</name>
  <value>/opt/cloudera/hive2.3.3/keytab/hive.keytab</value>
</property>

<!--HiveServer2服务的Kerberos配置信息 -->
<property>
  <name>hive.server2.authentication</name>
  <value>KERBEROS</value>
</property>
<property>
  <name>hive.server2.authentication.kerberos.principal</name>
  <value>hive/_HOST@FAYSON.COM</value>
</property>
<property>
  <name>hive.server2.authentication.kerberos.keytab</name>
  <value>/opt/cloudera/hive2.3.3/keytab/hive.keytab</value>
</property>

(可左右滑动)

将修改后的hive-site.xml配置文件,拷贝至hive2的所有部署节点

2.完成如上配置后,在cdh02.fayosn.com节点重新启动HiveMetastore服务

代码语言:javascript
复制
[root@cdh02 bin]# sudo -u hive ./hive --service metastore > ../logs/metastore.log 2>&1 &

(可左右滑动)

3.在cdh03.fayson.com节点上重新启动HiveServer2服务

代码语言:javascript
复制
[root@cdh03 bin]# sudo -u hive ./hive --service hiveserver2 > ../logs/hiveserver2.log 2>&1 &

(可左右滑动)

4.验证Hive2服务


1.在未kinit账号的情况下使用beeline访问Hive2

2.使用fayson账号进行kinit操作,通过beeline访问Hive2

代码语言:javascript
复制
[root@cdh03 bin]# kinit fayson
Password for fayson@FAYSON.COM: 
[root@cdh03 bin]# ./beeline 
Beeline version 2.3.3 by Apache Hive
beeline> !connect jdbc:hive2://cdh03.fayson.com:10000/;principal=hive/cdh03.fayson.com@FAYSON.COM

(可左右滑动)

通过如上测试,则表示Hive2服务已成功启用了Kerberos。

5.总结


1.在CDH集群中默认已安装了Hive1服务,并默认为hive用户添加了hadoop的proxyuser,所以我们在为Hive2服务启用Kerberos时默认使用hive即可,如果不使用hive用户则需要在core-site.xml中添加该用户的proxyuser

2.在该篇文章中,选择了两个节点分别作为HiveMetastore和HiveServer2服务,是为了区分开各个服务的keytab文件,与CDH集群中keytab使用方式一致。

3.文中使用的hive用户启动Hive2服务,需要注意hive用户对hive.keytab文件的读写权限。

4.本篇文章的配置是在《如何在CDH集群中安装Hive2.3.3》基础上进行配置。

提示:代码块部分可以左右滑动查看噢

为天地立心,为生民立命,为往圣继绝学,为万世开太平。 温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。

推荐关注Hadoop实操,第一时间,分享更多Hadoop干货,欢迎转发和分享。

原创文章,欢迎转载,转载请注明:转载自微信公众号Hadoop实操

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-07-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Hadoop实操 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
专用宿主机
专用宿主机(CVM Dedicated Host,CDH)提供用户独享的物理服务器资源,满足您资源独享、资源物理隔离、安全、合规需求。专用宿主机搭载了腾讯云虚拟化系统,购买之后,您可在其上灵活创建、管理多个自定义规格的云服务器实例,自主规划物理资源的使用。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档