兩個kerberos安全集群之間的數據傳輸

Question

我正在嘗試在兩個安全的kerberos之間傳輸數據。 簇。 我遇到的問題是我沒有對源群集的配置更改訪問權限，我需要更改目標群集上的所有內容。 我可以通過任何方式在兩個群集之間設置信任域，而無需在源群集上編輯任何配置。

Answer 1

如果使用的是distcp，則必須通過編輯krb5.conf在每個群集上添加[realms]和[domain_realms]來了解另一個群集，以確保兩個KDC彼此了解：

[realms]
        <CLUSTER2_REALM> = {
                kdc = <cluster2_server_kdc_host>:88
                admin_server = <cluster2_server_kdc_host>:749
                default_domain = <cluster2_host>
        }
[domain_realm]
        Clustre2_NN1 = CLUSTER2_REALM
        Cluster2_NN2= CLUSTER2_REALM

類似地，在cluster2上也有CLUSTER1詳細信息。

然后，您需要在兩個集群上創建主體

addprinc -e "aes128-cts-hmac-sha1-96:normal aes256-cts-hmac-sha1-96:normal" krbtgt/<CLUSTER1_REASLM>@<CLUSTER2_REALMS>

modprinc -maxrenewlife <n>day krbtgt/<CLUSTER1_REALM>@<CLUSTER2_REALM>

需要為hadoop.security.auth_to_local設置以下屬性

In Cluster1:
RULE:[1:$1@$0](.*@\Q<CLUSTER2_REALM>\E$)s/@\Q<CLUSTER2_REALM>\E$//
RULE:[2:$1@$0](.*@\Q<CLUSTER2_REALM>\E$)s/@\Q<CLUSTER2_REALM>\E$//
In Cluster2:
RULE:[1:$1@$0](.*@\Q<CLUSTER1_REALM>\E$)s/@\Q<CLUSTER1_REALM>\E$//
RULE:[2:$1@$0](.*@\Q<CLUSTER1_REALM>\E$)s/@\Q<CLUSTER1_REALM>\E$//

重新啟動kdc

/etc/init.d/krb5kdc stop
/etc/init.d/kadmin stop
/etc/init.d/krb5kdc start
/etc/init.d/kadmin start

故障轉移或重新啟動名稱節點