英特尔®ApacheHadoop*软件发行版安全指南版本2.5.12013年9月文档编号:328384-012CN免责声明和法律信息本文件中包含关于英特尔产品的信息。本文件不构成对任何知识产权的授权,包括明示的、暗示的,也无论是基于禁止反言的原则或其他。除英特尔产品销售的条款和条件规定的责任外,英特尔不承担任何其他责任。英特尔在此作出免责声明:本文件不构成英特尔关于其产品的使用和/或销售的任何明示或暗示的保证,包括不就其产品的(i)对某一特定用途的适用性、(ii)适销性以及(iii)对任何专利、版权或其他知识产权的侵害的承担任何责任或作出任何担保。除非经过英特尔的书面同意认可,英特尔的产品无意被设计用于或被用于以下应用:即在这样的应用中可因英特尔产品的故障而导致人身伤亡。英特尔有权随时更改产品的规格和描述而毋需发出通知。设计者不应信赖任何英特产品所不具有的特性,设计者亦不应信赖任何标有“保留权利”或“未定义”说明或特性描述。对此,英特尔保留将来对其进行定义的权利,同时,英特尔不应为因其日后更改该等说明或特性描述而产生的冲突和不相容承担任何责任。此处提供的信息可随时改变而毋需通知。请勿根据本文件提供的信息完成一项产品设计。本文件所描述的产品可能包含使其与宣称的规格不符的设计缺陷或失误。这些缺陷或失误已收录于勘误表中,可索取获得。在发出订单之前,请联系当地的英特尔营业部或分销商以获取昀新的产品规格。索取本文件中或英特尔的其他材料中提的、包含订单号的文件的复印件,可拨打1-800-548-4725,或登陆英特尔网站。英特尔处理器标号不是性能的指标。处理器标号仅用于区分同属一个系列的处理器的特性,而不能够用于区分不同系列的处理器。详情敬请登陆:结果基于模拟测算得出,仅作参考之用。结果通过系统模拟器或模型测算得出。任何系统硬件、软件的设计或配置的不同均可能影响实际性能。英特尔,英特尔®ApacheHadoop*软件发行版,英特尔®发行版,Intel®ManagerforApacheHadoop*software,和Intel®Manager是英特尔在美国和/或其他国家的商标。*其他的名称和品牌可能是其他所有者的资产。英特尔公司2013版权所有。所有权保留。英特尔®ApacheHadoop*软件发行版安全指南3文档修订记录日期修订描述2012年12月001英特尔®ApacheHadoop*软件发行版v2.2第一版文档2013年2月002英特尔®ApacheHadoop*软件发行版v2.3文档更新2013年2月003英特尔®ApacheHadoop*软件发行版v2.3文档更新2013年2月004英特尔®ApacheHadoop*软件发行版v2.3文档更新2013年3月005英特尔®ApacheHadoop*软件发行版v2.3文档更新2013年3月006英特尔®ApacheHadoop*软件发行版v2.3文档更新2013年5月007英特尔®ApacheHadoop*软件发行版v2.4文档更新2013年6月008英特尔®ApacheHadoop*软件发行版v2.4.1文档更新2013年6月009英特尔®ApacheHadoop*软件发行版v2.4.1文档更新2013年7月010英特尔®ApacheHadoop*软件发行版v2.4.1文档更新2013年8月011英特尔®ApacheHadoop*软件发行版v2.5文档更新2013年9月012英特尔®ApacheHadoop*软件发行版v2.5.1文档更新英特尔®ApacheHadoop*软件发行版安全指南4目录1.0为ApacheHadoop*服务使用Kerberos*认证............................................................................61.1Kerberos在ApacheHadoop*集群是如何应用的?.............................................................61.2先决条件和推荐配置................................................................................................61.3为ApacheHadoop*配置Kerberos................................................................................71.3.1定义Kerberos领域......................................................................................71.3.2配置Kerberos化的SSL.................................................................................81.3.3安装和配置Kerberos客户端...........................................................................91.4在Intel®Manager中更改安全模式..............................................................................91.5创建密钥表.........................................................................................................101.5.1生成密钥表示例........................................................................................111.6在ApacheHadoop*集群中部署密钥表.........................................................................131.7在安全模式中测试ApacheHadoop*功能......................................................................141.8解决Kerberos配置问题.........................................................................................141.8.1客户端访问失败并显示错误信息SASLauthenticationfailed................................141.8.2客户端访问失败并显示错误信息GSSinitiateFailed..........................................142.0为ApacheHadoop*服务设置基于角色的验证..........................................................................162.1功能和作用.........................................................................................................162.2访问控制列表是如何工作的?...................................................................................162.3什么是角色?......................................................................................................162.3.1角色的HDFS权限.......................................................................................172.3.2角色的MapReduce权限................................................................................182.3.3角色的HBase权限.....................................................................................182.3.4角色的Hive权限.......................................................................................192.3.5角色的Oozie权限.....................................................................................212.4为角色添加Shell用户或组.....................................................................................212.5使用LDAPIdentityStore的先决条件........................................................................242.6配置和LDAP服务器的通信.......................................................................................242.7在集群中部署基于角色的验证变化.............................................................................262.8控制LDAP组的缓存...................................................................