CDH5.15 Kerberos+Sentry在CentOS 6.5中的启用教程

本文档是一份详细的指南，介绍了如何在CentOS 6.5环境中设置和配置CDH 5.15以支持Kerberos和Sentry安全机制。该过程分为几个关键步骤，确保了平台的安全性和认证/授权流程的正确实施。 首先，从安装KDC服务开始，即在Cloudera Manager服务器上安装Kerberos的相关组件，如`krb5-server`, `krb5-lib`, `skrb5-auth-dialog`, 和 `krb5-workstation`。这些组件为整个系统提供了必要的身份验证基础设施。 配置过程中，重要的是修改`krb5.conf`文件，这是Kerberos的主配置文件，其中设置了日志记录路径、默认域和KDC服务器的信息。例如，将`default_realm`设为`CLOUD.COM`，并关闭DNS查找以防止潜在的安全风险。 接着，为了管理Kerberos用户和权限，需要修改`kadm5.acl`文件，允许特定用户（如`admin@CLOUD.COM`）进行管理员操作，增强了系统的安全性。 在`kdc.conf`配置文件中，定义了KDC服务的端口和相关参数，如最大可更新凭证的有效期和访问控制列表文件的位置。这里特别强调了`admin_keytab`，这是用于存储管理员账户密钥的文件，对管理操作至关重要。 接下来，文档会指导读者如何启用Sentry，一个Apache Hadoop的授权服务。在启用Sentry之前，确保已经完成了认证（Kerberos）的配置，因为授权依赖于有效的身份验证。 Sentry的集成可能涉及到配置Hadoop集群的各个组件，如Hive、HBase等，以利用Kerberos提供的安全令牌进行访问控制。这包括在Hive的Metastore或HBase的配置文件中添加相应的Kerberos相关参数。 这份文档提供了细致的操作步骤，对于希望在CDH 5.15环境中部署安全的Kerberos和Sentry环境的管理员来说，是不可或缺的参考资料。通过遵循文档中的每一个步骤，用户可以确保其CDH集群在处理敏感数据时具有高度的安全性。