hadoop 用Kerberos认证后,web界面如何访问
在Hadoop启用Kerberos认证后,使用Web界面进行访问可能会有所困难。这是因为你的浏览器需要向Kerberos KDC(Key Distribution Center)请求服务票据,然后使用该票据来验证自己。
不过,你可以配置浏览器以适应SPNEGO(Simple and Protected GSSAPI Negotiation Mechanism)协议。SPNEGO允许HTTP服务器和Web浏览器之间通过GSS-API安全地进行身份验证。下面是配置一些常见浏览器的方法:
Firefox:
- 在地址栏中输入
about:config
并回车。 - 在搜索栏中输入
network.negotiate-auth.trusted-uris
。 - 双击显示的结果,然后在弹出的窗口中输入Hadoop Web界面的URL或你的Kerberos realm(例如
.your.realm.com
),如果有多个值,请用逗号分隔。
- 在地址栏中输入
Chrome (on Windows):
- Chrome 会自动使用Windows的默认Kerberos设置和票据。确保在Windows中已经获取了票据(使用kinit)。
Chrome (on Mac/Linux):
- 打开终端。
- 运行命令:
google-chrome --auth-server-whitelist="*your.realm.com" --auth-negotiate-delegate-whitelist="*your.realm.com"
以上步骤将使得浏览器尝试使用SPNEGO进行身份验证。请替换 "your.realm.com" 为你的实际Kerberos realm。
还需注意,启用Kerberos之后,尤其是在生产环境中,应当同时启用HTTPS,因为虽然Kerberos提供了强大的身份验证,但它并未对传输内容进行加密。