集群配置和Kerberos安装配置如Kerberized_HDFS.Zookeeper的Kerberos配置过程如下所示。

#Kerberos parts

##添加principals

在KDC上创建ZooKeeper principals,并随机生成密钥:

#   kadmin.local
addprinc -randkey zookeeper/node21@HADOOP
addprinc -randkey zookeeper/node22@HADOOP
addprinc -randkey zookeeper/node23@HADOOP
listprincs

##生成keytab文件

为集群中每个节点生成相应的zookeeper.keytab文件。

创建名为/tmp/zookeeper_keytabs的目录,在该目录下执行:

#   kadmin.local 
ktadd -k zookeeper_21.keytab zookeeper/node21@HADOOP
ktadd -k zookeeper_22.keytab zookeeper/node22@HADOOP
ktadd -k zookeeper_23.keytab zookeeper/node23@HADOOP

##部署keytab文件

将每个keytab文件拷贝到相应的节点的/etc下,并重命名为zookeeper.keytab:

# scp zookeeper_21.keytab root@node21:/etc/zookeeper.keytab
# scp zookeeper_22.keytab root@node22:/etc/zookeeper.keytab
# scp zookeeper_23.keytab root@node23:/etc/zookeeper.keytab

在每个节点上将keytab文件的owner改为zookeeper:hadoop,权限改为400:

# chown zookeeper:hadoop /etc/zookeeper.keytab; chmod 400 /etc/zookeeper.keytab

#ZooKeeper Part

##修改zoo.cfg

在node21上修改配置文件/ZOOKEEPER_CONF/zoo.cfg(ZOOKEEPER_CONF为ZooKeeper的配置文件路径),添加:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

将上述修改同步到ZooKeeper集群的其他节点。

##创建JAAS文件

在/ZOOKEEPER_CONF/创建JAAS(Java Authentication and Authorization Service)配置文件,内容如下(每个节点的principal不同,以node21为例):

Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/zookeeper.keytab"
  storeKey=true
  useTicketCache=false
  principal="zookeeper/node21@HADOOP";
};

节点node22,node23也要创建JAAS文件。

##创建java.env文件

在/ZOOKEEPER_CONF/创建java.env,添加如下内容:

export JVMFLAGS="-Djava.security.auth.login.config=/ZOOKEEPER_CONF/jaas.conf"

记得将ZOOKEEPER_CONF替换为实际的配置文件所在目录的路径。

##重启集群

在集群中的每个节点上,执行如下(以node21为例):

# kinit -k -t /etc/zookeeper.keytab zookeeper/node21@HADOOP
# klist                 //查看ticket信息
# service zookeeper-server restart