浏览器访问kerberos集群webUI详细配置

Web UI授权控制（用户只能看到自己的工作）
功能描述：
之前yarn的web界面不安全，任何用户都可以登录查看所有在yarn上跑的job。
DIF yarn服务在开启kerberos后，可以支持用户通过web界面只能查看自己的运行的job。浏览器通过kerberos认证过程取到对应用户，然后timeline2.0再进行job过滤实现。
配置方法：
一、电脑配置
1、windows上安装MIT kerberos。
64位：http://web.mit.edu/kerberos/dist/kfw/4.1/kfw-4.1-amd64.msi
32位：http://web.mit.edu/kerberos/dist/kfw/4.1/kfw-4.1-1386.msi
（注意：kfw-4.1-amd64.msi 已放到安装目录中）
一定装complete 的！！！

2、安装完成后，联系管理员修改电脑配置
2.1、将windows环境变量中kerberos变量前置
按下Win + R，输入sysdm.cpl，然后按回车。
在弹出的窗口中，修改系统环境变量path设置：C:\Program Files\MIT\Kerberos\bin;放在最前面！
按下Win + R，输入cmd，然后按回车，查看设置的变量：set Path
Path里C:\Program Files\MIT\Kerberos\bin;在最前面！
不然会出现与系统配置冲突问题！
C:\Program Files\MIT\Kerberos\bin\klist.exe –version
C:\Windows\System32\klist.exe –version

2.2、将krb5.ini文件拖到C:\ProgramData\MIT\Kerberos5\目录下
按下Win + R，输入cmd，然后按回车，查看type C:\ProgramData\MIT\Kerberos5\krb5.ini

2.3、将hosts文件拖到C:\Windows\System32\drivers\etc\目录下
按下Win + R，输入cmd，然后按回车，查看type C:\Windows\System32\drivers\etc\hosts

3、主机kerberos配置
3.1、用户keytab配置
将给到的用户XXX.keytab文件拖到C:\ProgramData\MIT\目录下
（注意：用户的keytab文件需要联系系统管理员申请）

3.2、初始化keytab
按下Win + R，输入cmd，然后按回车。
在弹出的窗口中，执行初始化命令：
kinit –kt C:\Users\xunyong.sun\smokeuser.headless.keytab xxx@xxx.COM
验证：klist

4、启动MIT kerberos服务。

二、浏览器配置
目前只有Firefox浏览器支持kerberos。
1、在地址栏输入 about:config，进入高级设置。
2、搜索 network.negotiate-auth.trusted-uris，双击修改。
将其值设置为你的Hadoop集群域名或IP地址，多个值之间用逗号分隔：
xxx-70,xxx-71,xxx-80, xxx-81
3、搜索 network.negotiate-auth.using-native-gsslib，双击修改。
将其值设置为false.
4、搜索 network.negotiate-auth.gsslib，双击修改。
将其值设置为Kerberos客户端的gssapi32.dll（32位）或gssapi64.dll（64位）的完整路径： C:\Program Files\MIT\Kerberos\bin\gssapi64.dll
5、搜索 network.auth.use-sspi，双击修改。
将其值设置为false.
6、搜索 network.negotiate-auth.allow-non-fqdn，双击修改。
将其值设置为true.
三、访问验证
验证访问
http://xxx-70:50070
http://xxx-70:8088
http://xxx-70:18080
注：如果keytab过期后需要重新进行kinit。