开源大数据集群部署（六）Keytab文件生成

1、 创建keytab文件

除了使用明文密码登录之外，Kerberos还可以使用keytab密码文件登陆，现在为testcuser创建它的keytab文件

ipa-getkeytab -s ipa.hdp.hadoop -p testcuser@HDP.HADOOP -k testcuser.keytab

这样就在当前执行目录下生成了testcuser.keytab文件

通过此keytab文件登陆

和使用明文密码一样，通过keytab文件一样可以登陆，并且这种方式更加安全

8.6 创建服务keytab

安装客户端后，出现找不到dns的错误，需要手动添加。

ipa dnsrecord-add

ipa dnsrecord-add dtstack.com hd3  --a-ip-address=172.16.107.127

2、创建生成服务keytab的用户（如zookeeper.keytab）

登录freeipa的webui

创建apache-user用户

创建apache-role角色

添加以下两个特权

添加用户到此角色

添加用户后，需要进行第一次kinit认证，并会提示修改默认密码

kinit apache-user

生成keytab到/data/kerberos/apache-user.keytab目录下

ipa-getkeytab -s hd.dtstack.com -p apache-user@DTSTACK.COM -k /data/kerberos/apache-user.keytab
使用kinit apache-user@DTSTACK.COM  -kt  /data/kerberos/apache-user.keytab 验证是否能够认证成功