morningman commented on code in PR #26729: URL: https://github.com/apache/doris/pull/26729#discussion_r1390388361
########## docs/zh-CN/docs/lakehouse/multi-catalog/hive.md: ########## @@ -479,3 +456,67 @@ Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以 4.在doris创建同名角色role1,并将role1分配给user1,user1将同时拥有db1.table1.col1和col2的查询权限 +## 使用 Kerberos 进行认证 + +Kerberos是一种身份验证协议。它的设计目的是通过使用私钥加密技术为应用程序提供强身份验证。 + +### 环境配置 + +1. 当集群中的服务配置了Kerberos认证,配置Hive Catalog时需要获取它们的认证信息。 + +`hadoop.kerberos.keytab`: 记录了认证所需的principal,Doris集群中的keytab必须是同一个。 + +`hadoop.kerberos.principal`: Doris集群上找对应hostname的principal,如`doris/hostn...@hadoop.com`,用`klist -kt`检查keytab。 + +`yarn.resourcemanager.principal`: 到Yarn Resource Manager节点,从 `yarn-site.xml` 中获取,用`klist -kt`检查Yarn的keytab。 + +`hive.metastore.kerberos.principal`: 到Hive元数据服务节点,从 `hive-site.xml` 中获取,用`klist -kt`检查Hive的keytab。 + +`hadoop.security.authentication`: 开启Hadoop Kerberos认证。 + +在所有的 `BE`、`FE` 节点下放置 `krb5.conf` 文件和 `keytab` 认证文件,`keytab` 认证文件路径和配置保持一致,`krb5.conf` 文件默认放置在 `/etc/krb5.conf` 路径。 + +2. 当配置完成后,如在`FE`、`BE`日志中无法定位到问题,可以开启Kerberos调试。 + + - 在所有的 `FE`、`BE` 节点下,找到部署路径下的`conf/fe.conf`以及`conf/be.conf`。 + + - 找到配置文件后,在`JAVA_OPTS`变量中设置JVM参数`-Dsun.security.krb5.debug=true`开启Kerberos调试。 + + - `FE`节点的日志路径`log/fe.out`可查看FE Kerberos认证调试信息,`BE`节点的日志路径`log/be.out`可查看BE Kerberos认证调试信息。 Review Comment: 增加一个到 FAQ的链接,比如:“相关错误解决方法课参阅 xxx” ########## docs/zh-CN/docs/lakehouse/multi-catalog/hive.md: ########## @@ -479,3 +456,67 @@ Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以 4.在doris创建同名角色role1,并将role1分配给user1,user1将同时拥有db1.table1.col1和col2的查询权限 +## 使用 Kerberos 进行认证 + +Kerberos是一种身份验证协议。它的设计目的是通过使用私钥加密技术为应用程序提供强身份验证。 + +### 环境配置 + +1. 当集群中的服务配置了Kerberos认证,配置Hive Catalog时需要获取它们的认证信息。 + +`hadoop.kerberos.keytab`: 记录了认证所需的principal,Doris集群中的keytab必须是同一个。 + +`hadoop.kerberos.principal`: Doris集群上找对应hostname的principal,如`doris/hostn...@hadoop.com`,用`klist -kt`检查keytab。 + +`yarn.resourcemanager.principal`: 到Yarn Resource Manager节点,从 `yarn-site.xml` 中获取,用`klist -kt`检查Yarn的keytab。 + +`hive.metastore.kerberos.principal`: 到Hive元数据服务节点,从 `hive-site.xml` 中获取,用`klist -kt`检查Hive的keytab。 + +`hadoop.security.authentication`: 开启Hadoop Kerberos认证。 + +在所有的 `BE`、`FE` 节点下放置 `krb5.conf` 文件和 `keytab` 认证文件,`keytab` 认证文件路径和配置保持一致,`krb5.conf` 文件默认放置在 `/etc/krb5.conf` 路径。 Review Comment: 增加一个说明:同时需确认JVM参数 `-Djava.security.krb5.conf` 和环境变量 `KRB5_CONFIG` 指向了正确的 `krb5.conf` 文件的路径 ########## docs/zh-CN/docs/lakehouse/multi-catalog/hive.md: ########## @@ -479,3 +456,67 @@ Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以 4.在doris创建同名角色role1,并将role1分配给user1,user1将同时拥有db1.table1.col1和col2的查询权限 +## 使用 Kerberos 进行认证 + +Kerberos是一种身份验证协议。它的设计目的是通过使用私钥加密技术为应用程序提供强身份验证。 + +### 环境配置 + +1. 当集群中的服务配置了Kerberos认证,配置Hive Catalog时需要获取它们的认证信息。 + +`hadoop.kerberos.keytab`: 记录了认证所需的principal,Doris集群中的keytab必须是同一个。 Review Comment: 缩进4个空格 ########## docs/zh-CN/docs/lakehouse/multi-catalog/hive.md: ########## @@ -479,3 +456,67 @@ Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以 4.在doris创建同名角色role1,并将role1分配给user1,user1将同时拥有db1.table1.col1和col2的查询权限 +## 使用 Kerberos 进行认证 + +Kerberos是一种身份验证协议。它的设计目的是通过使用私钥加密技术为应用程序提供强身份验证。 + +### 环境配置 + +1. 当集群中的服务配置了Kerberos认证,配置Hive Catalog时需要获取它们的认证信息。 + +`hadoop.kerberos.keytab`: 记录了认证所需的principal,Doris集群中的keytab必须是同一个。 + +`hadoop.kerberos.principal`: Doris集群上找对应hostname的principal,如`doris/hostn...@hadoop.com`,用`klist -kt`检查keytab。 + +`yarn.resourcemanager.principal`: 到Yarn Resource Manager节点,从 `yarn-site.xml` 中获取,用`klist -kt`检查Yarn的keytab。 + +`hive.metastore.kerberos.principal`: 到Hive元数据服务节点,从 `hive-site.xml` 中获取,用`klist -kt`检查Hive的keytab。 + +`hadoop.security.authentication`: 开启Hadoop Kerberos认证。 + +在所有的 `BE`、`FE` 节点下放置 `krb5.conf` 文件和 `keytab` 认证文件,`keytab` 认证文件路径和配置保持一致,`krb5.conf` 文件默认放置在 `/etc/krb5.conf` 路径。 Review Comment: 增加一个说明:同时需确认JVM参数 `-Djava.security.krb5.conf` 和环境变量 `KRB5_CONFIG` 指向了正确的 `krb5.conf` 文件的路径 ########## docs/zh-CN/docs/lakehouse/multi-catalog/hive.md: ########## @@ -479,3 +456,67 @@ Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以 4.在doris创建同名角色role1,并将role1分配给user1,user1将同时拥有db1.table1.col1和col2的查询权限 +## 使用 Kerberos 进行认证 + +Kerberos是一种身份验证协议。它的设计目的是通过使用私钥加密技术为应用程序提供强身份验证。 + +### 环境配置 + +1. 当集群中的服务配置了Kerberos认证,配置Hive Catalog时需要获取它们的认证信息。 + +`hadoop.kerberos.keytab`: 记录了认证所需的principal,Doris集群中的keytab必须是同一个。 Review Comment: 缩进4个空格 ########## docs/zh-CN/docs/lakehouse/multi-catalog/hive.md: ########## @@ -479,3 +456,67 @@ Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以 4.在doris创建同名角色role1,并将role1分配给user1,user1将同时拥有db1.table1.col1和col2的查询权限 +## 使用 Kerberos 进行认证 + +Kerberos是一种身份验证协议。它的设计目的是通过使用私钥加密技术为应用程序提供强身份验证。 + +### 环境配置 + +1. 当集群中的服务配置了Kerberos认证,配置Hive Catalog时需要获取它们的认证信息。 + +`hadoop.kerberos.keytab`: 记录了认证所需的principal,Doris集群中的keytab必须是同一个。 + +`hadoop.kerberos.principal`: Doris集群上找对应hostname的principal,如`doris/hostn...@hadoop.com`,用`klist -kt`检查keytab。 + +`yarn.resourcemanager.principal`: 到Yarn Resource Manager节点,从 `yarn-site.xml` 中获取,用`klist -kt`检查Yarn的keytab。 + +`hive.metastore.kerberos.principal`: 到Hive元数据服务节点,从 `hive-site.xml` 中获取,用`klist -kt`检查Hive的keytab。 + +`hadoop.security.authentication`: 开启Hadoop Kerberos认证。 + +在所有的 `BE`、`FE` 节点下放置 `krb5.conf` 文件和 `keytab` 认证文件,`keytab` 认证文件路径和配置保持一致,`krb5.conf` 文件默认放置在 `/etc/krb5.conf` 路径。 + +2. 当配置完成后,如在`FE`、`BE`日志中无法定位到问题,可以开启Kerberos调试。 + + - 在所有的 `FE`、`BE` 节点下,找到部署路径下的`conf/fe.conf`以及`conf/be.conf`。 + + - 找到配置文件后,在`JAVA_OPTS`变量中设置JVM参数`-Dsun.security.krb5.debug=true`开启Kerberos调试。 + + - `FE`节点的日志路径`log/fe.out`可查看FE Kerberos认证调试信息,`BE`节点的日志路径`log/be.out`可查看BE Kerberos认证调试信息。 Review Comment: 增加一个到 FAQ的链接,比如:“相关错误解决方法课参阅 xxx” -- This is an automated message from the Apache Git Service. To respond to the message, please log on to GitHub and use the URL above to go to the specific comment. To unsubscribe, e-mail: commits-unsubscr...@doris.apache.org For queries about this service, please contact Infrastructure at: us...@infra.apache.org --------------------------------------------------------------------- To unsubscribe, e-mail: commits-unsubscr...@doris.apache.org For additional commands, e-mail: commits-h...@doris.apache.org
