繼續說一下Kerberos與Hadoop的集成。

成都創新互聯公司服務項目包括瀘溪網站建設、瀘溪網站制作、瀘溪網頁制作以及瀘溪網絡營銷策劃等。多年來，我們專注于互聯網行業，利用自身積累的技術優勢、行業經驗、深度合作伙伴關系等，向廣大中小型企業、政府機構等提供互聯網行業的解決方案，瀘溪網站推廣取得了明顯的社會效益與經濟效益。目前，我們服務的客戶以成都為中心已經輻射到瀘溪省份的部分城市，未來相信會繼續擴大服務區域并繼續獲得客戶的支持與信任！

其實這個話題在網上已經很普遍了，沒什么太新鮮的。就是順帶說一下吧，Hadoop賬號的集成與管理。

之前已經裝了kdc和kadmin，所以接下來就需要創建hadoop相關的賬號了。

首先需要用kadmin進入kerberos管理prompt，這里需要輸入之前創建的admin賬號的密碼。

然后就可以創建了，用 ? 可以查看允許使用的命令。比如我們創建如下賬號。

addprinc -randkey hdfs/master.hadoop@HADOOP.COM
xst -k hdfs.keytab
addprinc -randkey HTTP/master.hadoop@HADOOP.COM
xst -k HTTP.keytab
#生成了兩個賬號及其keytab，然后退出prompt回到shell。進入ktutil
rkt hdfs.keytab
rkt HTTP.keytab
wkt hdfs.keytab
這樣就把原始的hdfs.keytab和HTTP.keytab合并成了新的hdfs.keytab

先創建與hdfs相關的賬號，最后我們是要把這些賬號創建成免密碼的keytab文件的，在Hadoop里面，最好是把同一類服務創建成一個keytab，比如,hdfs和HTTP同屬于hadoop的HDFS服務，所以，我們先創建這兩個賬號并將這兩個賬號的信息合并到一個keytab里面。

以此類推，可以創建yarn/master.hadoop@HADOOP.COM，mapred/master.hadoop@HADOOP.COM，oozie, hive...等等賬號。

然后修改hdfs-site.xml，加入

  
    dfs.namenode.keytab.file
    hdfs.keytab
  
  
    dfs.namenode.kerberos.principal
    hdfs/_HOST@PG.COM
  
  
    dfs.namenode.kerberos.internal.spnego.principal
    HTTP/_HOST@PG.COM
  
  
    dfs.datanode.kerberos.principal
    hdfs/_HOST@PG.COM
  
  
    dfs.journalnode.kerberos.principal
    hdfs/_HOST@PG.COM
  
  
    dfs.journalnode.kerberos.internal.spnego.principal
    HTTP/_HOST@PG.COM
  
  
    dfs.cluster.administrators
    hdfs
  

以此類推，也可以把yarn/master.hadoop@HADOOP.COM的keytab與HTTP的keytab合并，還有mapred賬號也可以合并，當然，前提是你需要用到spnego的http登錄認證服務，如果不需要spnego，可以不添加HTTP的賬號。至于什么是spnego，參看解釋。

當然，前面創建賬號和合并keytab的命令，你可以寫成shell腳本讓他自動完成。