Vik*_*dia 3 hadoop kerberos cloudera-manager
我正在Cloudera 5 beta上启用安全模式。使用cloudera manager并从此处执行安全性的第8步后,cloudera manager应该触发Generate Credential命令,但不是。
所以我正在做的是手动运行“生成凭据”,但这给了我错误日志,即。
KADMIN='kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN'
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'addprinc -randkey hue/cdh4hdm@IMP.CO.IN'
WARNING: no policy specified for hue/cdh4hdm@IMP.CO.IN; defaulting to no policy
add_principal: Operation requires ``add'' privilege while creating "hue/cdh4hdm@IMP.CO.IN".
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'xst -k /tmp/cmf4198733808580266866.keytab hue/cdh4hdm@IMP.CO.IN'
kadmin: Operation requires ``change-password'' privilege while changing hue/cdh4hdm@IMP.CO.IN's key
+ chmod 600 /tmp/cmf4198733808580266866.keytab
chmod: cannot access `/tmp/cmf4198733808580266866.keytab': No such file or directory
看来kadmin无法创建原理。
我的问题是我如何赋予kadmin添加主体特权或如何使用kadmin.local运行此命令?
有什么办法可以让我摆脱这个问题...
需要一些配置,以提供用户主体以使用kadmin创建任何主体。
必须编辑kadm5.acl文件并在kadm5.acl文件中添加以下条目:
*/admin@EXAMPLE.COM
这里*表示通配符,因此匹配kadm5.acl中提供的字符串的用户主体可以例如创建任何主体:
root/admin@EXAMPLE.COM
更改配置后,需要重新启动Kerberos才能使更改生效。有关更多详细信息,请参阅此