Hadoop krb5.conf 配置详解

krb5.conf文件是Kerberos认证系统中的一个关键配置文件，它包含了Kerberos的配置信息，如KDC（Key Distribution Centers）和Kerberos相关域的管理员服务器位置、当前域和Kerberos应用的默认设置、以及主机名与Kerberos域的映射等。以下是对Hadoop环境中krb5.conf配置的详细解释：

一、文件位置与格式

• 通常，krb5.conf文件应安装在/etc目录中。
• 可以通过设置环境变量KRB5_CONFIG来覆盖默认位置。
• krb5.conf文件的设置风格类似于Windows INI文件，各个部分以部分名为标题，放在方括号中。

二、主要部分与关系

# [libdefaults] 部分定义了 Kerberos 客户端的默认设置
[libdefaults]# 指定默认的 Kerberos 域（realm）default_realm = EXAMPLE.COM# 启用或禁用 KDC 时间同步kdc_timesync = 1# 定义票据缓存类型ccache_type = 4# 是否允许转发票据forwardable = true# 是否允许代理票据proxiable = true# 票据的默认生命周期（秒）ticket_lifetime = 24h# 票据的最大可续期时间（秒）renew_lifetime = 7d# 是否使用 DNS 来查找域和 KDCdns_lookup_realm = falsedns_lookup_kdc = false# [realms] 部分定义了每个 Kerberos 域的具体信息
[realms]# 定义一个具体的 Kerberos 域EXAMPLE.COM = {# KDC 的主机名和端口kdc = kdc.example.com:88# 管理服务器的主机名和端口admin_server = kdc.example.com:749# 该域的默认 DNS 域名default_domain = example.com}# [domain_realm] 部分将 DNS 域名映射到 Kerberos 域
[domain_realm]# 将所有以 .example.com 结尾的子域名映射到 EXAMPLE.COM.example.com = EXAMPLE.COM# 将 example.com 域名映射到 EXAMPLE.COMexample.com = EXAMPLE.COM# [logging] 部分定义了 Kerberos 的日志记录设置
[logging]# 默认的日志级别和位置default = FILE:/var/log/krb5libs.log# KDC 的日志级别和位置kdc = FILE:/var/log/krb5kdc.log# 管理服务器的日志级别和位置admin_server = FILE:/var/log/kadmind.log# [appdefaults] 部分定义了特定应用程序的默认设置
[appdefaults]# PAM 应用程序的默认设置pam = {# 是否启用调试模式debug = false# PAM 应用程序的票据生命周期（秒）ticket_lifetime = 36000# PAM 应用程序的最大可续期时间（秒）renew_lifetime = 36000# 是否允许转发票据forwardable = true# 是否获取 Kerberos v4 票据krb4_get_tickets = false}

三、配置示例

以下是一个简单的krb5.conf配置示例：

[libdefaults]default_realm = EXAMPLE.COMdns_lookup_realm = falsedns_lookup_kdc = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = true[realms]EXAMPLE.COM = {kdc = kerberos.example.comadmin_server = kerberos.example.com}[domain_realm].example.com = EXAMPLE.COMexample.com = EXAMPLE.COM

四、注意事项

1. 配置准确性：确保krb5.conf文件中的配置项准确无误，特别是KDC和管理员服务器的地址、域名等关键信息。
2. 文件权限：确保krb5.conf文件的权限设置合理，以防止未经授权的访问和修改。
3. 环境变量：如果在Hadoop集群中使用Kerberos认证，确保Hadoop相关进程能够正确读取krb5.conf文件。可以通过设置环境变量KRB5_CONFIG来指定krb5.conf文件的位置。
4. 重启服务：在修改krb5.conf文件后，通常需要重启Kerberos相关服务（如KDC和管理员服务器）以及Hadoop集群中的相关进程，以使配置生效。