安装 Kerberos 客户端
以 MIT Kerberos 客户端为例,步骤如下:
- 访问MIT Kerberos 官网,根据 Windows 系统版本(32 位或 64 位)download对应的安装包。
- 双击安装包进行安装,选择 “Typical”(典型)安装模式,按照提示完成安装。
配置 Kerberos 客户端
- 从 KDC Server 上获取
krb5.conf文件,将其内容复制到 Windows 本地的C:\ProgramData\MIT\Kerberos5\krb5.ini文件中5。注意不要直接使用krb5.conf文件更名替换krb5.ini,否则可能出现文件格式问题导致 MIT Kerberos 客户端无法正常启动。 - 由于 Java 环境中也有
kinit、klist等命令,可能会与 Kerberos 客户端的命令冲突。需要将 Kerberos 的环境变量位置调整到 Java 环境变量的前面。
配置 Kerberos 客户端
- 从 KDC Server 上获取
krb5.conf文件,将其内容复制到 Windows 本地的C:\ProgramData\MIT\Kerberos5\krb5.ini文件中5。注意不要直接使用krb5.conf文件更名替换krb5.ini,否则可能出现文件格式问题导致 MIT Kerberos 客户端无法正常启动。 - 由于 Java 环境中也有
kinit、klist等命令,可能会与 Kerberos 客户端的命令冲突。需要将 Kerberos 的环境变量位置调整到 Java 环境变量的前面。
获取 Kerberos 票据
- 点击 Windows 的 “开始” 按钮,找到 “Kerberos for Windows” 程序组,打开 “MIT Kerberos Ticket Manager”。
- 点击 “Get Ticket”,输入在 KDC Server 上创建的用户名和密码,获取 Kerberos 票据。
访问 HDFS 集群 Web UI
在 Firefox 浏览器中输入 HDFS 集群 Web UI 的链接(如 Namenode 的 50070 端口),即可访问开启 KDC 认证的 HDFS 集群 Web UI。
如果是在 Cloudera 环境下,还需要在 Cloudera Manager 中进行相关配置,以允许特定用户或组访问 HDFS Web UI。具体步骤如下:
- 登录 Cloudera Manager 管理控制台,进入 “HDFS 服务” 页面。
- 导航到 “配置” 选项卡,搜索 “hdfs - site.xml 的高级配置代码段(安全阀)”。
- 添加属性
dfs.cluster.administrators,其值为允许访问的用户名或组名,多个名称之间用逗号分隔。 - 保存配置并重启所有受影响的 HDFS 服务。
