配置Storm业务用户密码策略
操作场景
本章节内容适用于MRS 3.x及后续版本。
使用Storm业务用户提交一个拓扑以后,该任务需要使用提交拓扑的用户身份持续运行。在拓扑运行的过程中,worker进程可能需要正常重启以保持拓扑工作。若业务用户的密码被修改,或密码使用天数超过了默认密码策略指定的最大有效期,则会影响拓扑正常运行。MRS集群管理员需要根据企业安全要求,为Storm业务用户配置独立的密码策略。
如果不为Storm业务用户配置独立的密码策略,在修改业务用户密码以后,可以删除旧的拓扑并重新提交,使拓扑继续运行。
对系统的影响
- 为Storm业务用户配置独立的密码策略后,此用户将不受Manager界面上的“密码策略”配置影响。
- 为Storm业务用户配置独立的密码策略后,如果配置了跨集群互信,请根据此密码策略,在Manager为Storm业务用户重置密码。
前提条件
MRS集群管理员已明确业务需求,并创建好“人机”用户,例如“testpol”。
操作步骤
- 以“omm”用户登录集群内任意节点。
- 执行以下命令,防止超时退出。
TMOUT=0
执行完本章节操作后,请及时恢复超时退出时间,执行命令TMOUT=超时退出时间。例如:TMOUT=600,表示用户无操作600秒后超时退出。
- 执行以下命令,导出环境变量。
EXECUTABLE_HOME="${CONTROLLER_HOME}/kerberos_user_specific_binay/kerberos"
LD_LIBRARY_PATH=${EXECUTABLE_HOME}/lib:$LD_LIBRARY_PATH
PATH=${EXECUTABLE_HOME}/bin:$PATH
- 执行以下命令,并输入Kerberos管理员密码,进入Kerberos管理控制台。
kadmin -p kadmin/admin
第一次使用“kadmin/admin”用户需要修改“kadmin/admin”密码。
界面显示如下信息,则表示已成功进入Kerberos管理控制台。
kadmin:
- 执行以下命令,查看创建好的“Human-Machine”用户的具体信息。
getprinc 用户名
例如,查看“testpol”用户的详细信息:
getprinc testpol
界面显示如下信息,说明指定用户使用了默认的密码策略:
Principal: testpol@<系统域名> …… Policy: default
- 执行以下命令,为Storm业务用户创建独立的密码策略,例如“streampol”:
addpol -maxlife 0day -minlife 0sec -history 1 -maxfailure 5 -failurecountinterval 5min -lockoutduration 5min -minlength 8 -minclasses 4 streampol
其中“-maxlife”表示密码最大有效期,“0day”表示永不过期。
- 执行以下命令,查看新创建的策略“streampol”。
getpol streampol
界面显示如下信息,说明新策略已指定密码不过期:
Policy: streampol Maximum password life: 0 days 00:00:00 ……
- 执行以下命令,将新的策略“streampol”应用到Storm用户“testpol”。
modprinc -policy streampol testpol
其中“streampol”是策略名称,“testpol”是用户名。
界面显示如下信息,说明指定用户的属性已修改:
Principal "testpol@<系统域名>" modified.
- 执行以下命令,查看Storm用户“testpol”用户的当前信息。
getprinc testpol
界面显示如下信息,说明指定用户使用了新的密码策略:
Principal: testpol@<系统域名> …… Policy: streampol
