當(dāng)Hadoop集群開啟Kerberos后搔课,跨集群訪問需要配置Kerberos cross-realm(跨域訪問)聘惦。
Kerberos跨域訪問原理查看:Kerberos跨域原理
Hadoop集群配置Kerberos互信查看:hadoop集群配置Kerberos互信迟郎。在我們的實(shí)驗(yàn)中钙态,參照該博客中的步驟不能實(shí)現(xiàn)Realm A(A.COM)中的用戶訪問Realm B(B.COM)中Server绒尊。例如在Realm A中使用test@A.COM訪問hadoop@B.COM Server篮迎,在Realm A的kdc日志中觀察到無法找到Hadoop/hostname1@B.COM Server,請(qǐng)求并未正常轉(zhuǎn)發(fā)到Realm B中形娇。通過排查锰霜,為缺少對(duì)服務(wù)hadoop/hostname1的映射,需要在kerb5.conf的domain_realm增加對(duì)hadoop/hostname1的映射桐早。
[domain_realm]
.a.com=A.COM
a=A.COM
.b.com=B.COM
b.com=B.COM
#A.COM的kdc server
node1a141 = A.COM
node1a143 = A.COM
#B.COM的kdc server
node1a210 = B.COM
node1a202 = B.COM
#對(duì)hostname1(nanemode)的映射癣缅,如果需要訪問集群B的其他Server,也需要配置相關(guān)映射
hostname1= B.COM
至此哄酝,可以使用Realm A中principal訪問集群B的hdfs服務(wù)友存。
