Pivotal Knowledge Base

フォローする

Kerberosを用いてHadoopサービスにアクセスするためのHue設定方法

環境

製品 バージョン
Pivotal HD 3.0.x
OS RHEL 6.x

目的

Kerberosを用いてHadoopサービスにアクセスするためのHue設定方法を記述する。

KerberosによるセキュアHadoopサービスにHueからアクセスしたい場合は下記手順を参照のこと。

手順

1. KDCサーバで HueのユーザープリンシパルをHadoopのクラスタと同じレルムで作成する

# addprinc -randkey hue/<FQDN>@<REALM>

<FQDN>は、実HueサーバホストのFQDN に書き換える。

<REALM>は、実Kerberosレルム名に書き換える。

本記事の例では<FQDN>をadmin.hadoop.local、<REALM>をPIVOTAL.IOとする。

# kadmin.local -q "addprinc -randkey hue/admin.hadoop.local@PIVOTAL.IO"

2. Hueのユーザープリンシパルでkeytabファイルを作成する。

# kadmin.local -q "xst -k /root/keytabs/hue.service.keytab hue/admin.hadoop.local@PIVOTAL.IO"

3. Hueサーバが稼働しているホストへkeytabファイルを配布する。通常はファイルを/etc/security/keytabs/に配置する。

4. keytabファイルのオーナーを、HttpFS実行ユーザに設定し、グループをhadoopに、またパーミッションを400に設定する。

5. keytabファイルの動作テストを行う。

# kinit -kt /etc/security/keytabs/hue.service.keytab hue/admin.hadoop.local@PIVOTAL.IO
[root@admin keytabs]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hue/admin.hadoop.local@PIVOTAL.IO Valid starting Expires Service principal
12/01/15 07:59:48 12/02/15 07:59:48 krbtgt/PIVOTAL.IO@PIVOTAL.IO
renew until 12/01/15 07:59:48

6. Hueサーバが稼働しているホストの設定ファイルhue.iniのkereberosセクションを変更する(通常は/etc/hue/confにある)。

[[kerberos]]
# Path to Hue's Kerberos keytab file
hue_keytab=/etc/security/keytabs/hue.service.keytab # Kerberos principal name for Hue
hue_principal=hue/admin.hadoop.local@PIVOTAL.IO # Path to kinit
kinit_path=/usr/bin/kinit ## Frequency in seconds with which Hue will renew its keytab. Default 1h.
reinit_frequency=3600 ## Path to keep Kerberos credentials cached.
ccache_path=/tmp/hue_krb5_ccache [[hdfs_clusters]]   [[[default]]]
  # Enter the filesystem uri
  fs_defaultfs=hdfs://<namenode host>:<namenode port>   webhdfs_url=http://<HttpFS server FQDN>:<HttpFS server port>/webhdfs/v1   security_enabled=true [hcatalog]
  security_enabled=true [beeswax]   hive_conf_dir=/etc/hive/conf

注意:

  • プリンシパルの名称とkeytabファイルのパスを適切に変更する。
  • HueでBeeswaxのインタフェースを使用する場合は、hive_conf_dirにHiveの設定ディレクトリと、Kerberos設定パラメータが正しく設定されていることを確認する。

7. Ambari Web UI の core-site.xml に以下のプロパティーを追加。追加内容を反映させるには、HDFS の再起動が必要であることに注意。

<property>
<name>hue.kerberos.principal.shortname</name>
<value>hue</value>
</property> <property>
<name>hadoop.proxyuser.hue.hosts</name>
<value>*</value>
</property> <name>hadoop.proxyuser.hue.groups</name>
<value>*</value>
</property>

8. Hueサービスを再起動する。

# service hue restart 

追加情報

参考文献:

コメント

Powered by Zendesk