of the SmartConnect zone that you created for your cluster. You must be logged on as
the root user to run this command:
isi hdfs krb5 --kerb-instance=<SmartConnect-zone-name>
2. Run the following commands on the cluster with the kadmin utility to create a
principal on the KDC, where 
<admin-principal-name>
is the value for the admin
credentials for your KDC, and the principal that is being created is the one returned
from the previous command:
kadmin -p <admin-principal-name>
add_principal -randkey hdfs/<SmartConnect-zone-name>
3. In the kadmin utility, run the following command to add the principal to a keytab file
and export the keytab file with a unique file name:
ktadd -k <keytab /path/filename> hdfs/<SmartConnect-zone-name>
kadmin: quit
4. In the OneFS command-line interface, securely copy the keytab file to all the nodes in
your cluster. You can script this copying task if you have several nodes. The following
command is just one example of a script that copies the keytab files to every node:
for ip in `isi_nodes %{internal}`;
do scp <keytab /path/filename> $ip:/etc/;
done
Configure the HDFS daemon to use your keytab file
Your final step in configuring Kerberos authentication over HDFS is to configure the HDFS
daemon to use your keytab file.
Before you begin
You must be logged in as the root user to run this command.
You must set the OneFS HDFS daemon to use the keytab file that you exported:
Procedure
1. In the OneFS command-line interface, configure the OneFS HDFS daemon to use the
keytab file that you exported by running the following command, where 
<filename>
is a
placeholder for the name of your keytab file:
isi hdfs krb5 --keytab=/etc/<filename>
After you finish
You must modify the Hadoop configuration files on your Hadoop clients as the final step
in configuring HDFS authentication through Kerberos.
Configuring HDFS authentication with Active Directory Kerberos
You can authenticate and authorize HDFS connections with Kerberos and Microsoft Active
Directory.
Before you begin, confirm the following checklist items:
u
The cluster is running properly with HDFS in simple security authentication mode.
u
A SmartConnect zone is configured on the Isilon cluster and hostname resolution is
correct.
u
You know how to configure Linux and Unix systems to work with Kerberos and Active
Directory.
u
You know how to manage an EMC Isilon cluster through the command-line interface.
You must perform the following tasks in sequence to configure HDFS authentication
through Active Directory Kerberos.
Hadoop
Configuring HDFS authentication with Active Directory Kerberos
381
Pdf to jpeg converter - Convert PDF to JPEG images in C#.net, ASP.NET MVC, WinForms, WPF project
How to convert PDF to JPEG using C#.NET PDF to JPEG conversion / converter library control SDK
convert pdf pages to jpg; convert pdf pages to jpg online
Pdf to jpeg converter - VB.NET PDF Convert to Jpeg SDK: Convert PDF to JPEG images in vb.net, ASP.NET MVC, WinForms, WPF project
Online Tutorial for PDF to JPEG (JPG) Conversion in VB.NET Image Application
change pdf to jpg image; convert multiple pdf to jpg online
1. Create HDFS user accounts in Active Directory.
2. Create keytab files for HDFS user accounts.
3. Configure the krb5.conf file.
4. Configure cluster settings for HDFS.
5. Modify Hadoop configuration files for Kerberos authentication.
For more information about authenticating HDFS connections through Kerberos, see the
white paper 
EMC Isilon Best Practices for Hadoop Data Storage
.
Create HDFS user accounts in Active Directory
You must create HDFS-specific user accounts in Active Directory before you configure
Kerberos authentication.
You must create user accounts in Active Directory for HDFS, the JobTracker, and the
TaskTracker with a service principal name.
Note
After you configure Kerberos authentication, you cannot use a local user on a Hadoop
compute client to access HDFS data on an EMC Isilon cluster; you must use an account in
Active Directory.
Procedure
1. With standard Active Directory tools, create HDFS user accounts, similar to the
following patterns for the three service principal names, where 
<jt-user-
name>@<DOMAIN>
and 
<tt-user-name>@<DOMAIN>
are placeholders for JobTracker and
TaskTracker user names:
hdfs@<DOMAIN>
<jt-user-name>@<DOMAIN>
<tt-user-name>@<DOMAIN>
Create keytab files for HDFS user accounts
You must create keytab files for the HDFS user accounts with Microsoft's ktpass utility
and distribute them to Hadoop compute clients.
After the keytab files are created, you must distribute them to the Hadoop compute
clients that need them. To avoid account name conflicts after you configure Kerberos, you
may need to delete any local accounts on your Isilon cluster if you created them for the
Hadoop services; that is, user accounts such as hdfs, mapred, and hadoop, in
addition to the local group named hadoop.
Procedure
1. Run a command similar to the following example to create keytab files for Active
Directory users with the ktpass utility:
ktpass princ <user>/<computername>@<DOMAIN> \
mapuser<user>@<DOMAIN> +rndPass -out Documents/user.keytab \
/ptype KRB5_NT_PRINCIPAL
2. Establish a secure connection such as SCP and distribute the keytab files to the
Hadoop compute clients that need them.
Hadoop
382
OneFS
7.1 
Web Administration Guide
Online Convert PDF to Jpeg images. Best free online PDF JPEG
Online PDF to JPEG Converter. Download Free Trial. Convert a PDF File to JPG. Drag and drop your PDF in the box above and we'll convert the files for you.
convert pdf photo to jpg; reader convert pdf to jpg
C#: How to Use SDK to Convert Document and Image Using XDoc.
You may use our converter SDK to easily convert PDF, Word, Excel, PowerPoint, Tiff, and Dicom files to raster images like Jpeg, Png, Bmp and Gif.
best convert pdf to jpg; convert pdf to high quality jpg
Note
The Kerberos keytab file contains an encrypted, local copy of the host's key, which if
compromised may potentially allow unrestricted access to the host computer. It is
crucial to protect the keytab file with file-access permissions.
Configure cluster settings for HDFS
You must configure settings on the cluster as part of setting up HDFS authentication with
Active Directory and Kerberos.
Before you begin
These instructions assume the following prerequisites:
u
You know how to configure client computers to work with Kerberos authentication.
u
You have established an SSH connection to a node in the cluster and are logged in as
the root user.
Procedure
1. Run the following commands to join the cluster to the Active Directory domain, where
<DOMAIN>
is a placeholder for your domain name.
Note
You can skip this command if you are already joined to a domain:
isi auth ads create <DOMAIN> administrator
isi auth ads modify --provider-name=<DOMAIN> --assume-default-
domain=true
2. Next, run the following commands, where 
<SmartConnect-zone-name>
is a placeholder
for the SmartConnect zone that the Hadoop compute clients are connecting to:
isi hdfs krb5 --kerb-instance=<SmartConnect-zone-name>
isi hdfs krb5 --keytab=DYNAMIC:/usr/lib/ \
kt_isi_pstore.so:hdfs:<DOMAIN> 
isi auth ads spn create --spn=hdfs/<SmartConnect-zone-name> \
--domain=<DOMAIN> --user=administrator
After you finish
You must modify the Hadoop configuration files on your Hadoop clients as the final step
in configuring HDFS authentication with Kerberos through Active Directory.
Modifying Hadoop configuration files for Kerberos authentication
You must modify four files when you make changes to Kerberos authentication over
HDFS.
To configure Kerberos authentication, you must modify four Hadoop configuration files on
your Hadoop compute clients:
u
krb5.conf
u
mapred-site.xml
u
hdfs-site.xml
u
core-site.xml
You must restart the Hadoop daemons on the compute clients to apply the changes.
Hadoop
Modifying Hadoop configuration files for Kerberos authentication
383
C# PDF Convert: How to Convert Jpeg, Png, Bmp, & Gif Raster Images
Jpeg, Png, Bmp, Gif Image to PDF. |. Home ›› XDoc.Converter ›› C# Converter: Raster Image to PDF.
changing pdf to jpg; to jpeg
Online Convert Jpeg to PDF file. Best free online export Jpg image
Online JPEG to PDF Converter. Download Free Trial. Convert a JPG to PDF. You can drag and drop your JPG file in the box, and then start
change format from pdf to jpg; convert multi page pdf to jpg
Configure the krb5.conf file
You must configure Hadoop compute client settings to use Active Directory.
Before you begin
You must be logged in as the root user to run the commands in this task.
When you configure the krb5.conf file on the Hadoop client, you must include the
default domain and server settings for the KDC.
Procedure
1. On the Hadoop compute client, open the krb5.conf file in a text editor and provide
information similar to the following example, where values in angle brackets are
placeholders for values specific to your environment:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = <DOMAIN>
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
<DOMAIN> = {
kdc = <kdc-hostname>
admin_server = <kdc-admin-server-hostname>
}
[domain_realm]
.<DOMAIN> = <DOMAIN>
<DOMAIN> = <DOMAIN>
2. Save and close the krb5.conf.
3. Make sure that both the Isilon cluster and the Hadoop compute clients use either
Active Directory or the same NTP server as their time source.
The Kerberos standard requires that system clocks be no more than 5 minutes apart.
Modify the hdfs-site.xml file
You must provide the values for namenodes and datanodes in the hdfs-site.xml file.
On the Hadoop compute client, add the following properties to the hdfs-site.xml
file.
Procedure
1. Open the file hdfs-site.xml with a text editor and make the following changes
according to the following example, where 
<SmartConnect-zone-name>
is a placeholder
from the resolvable hostname for the EMC Isilon cluster:
<?xml version="1.0"?>
<!-- hdfs-site.xml -->
<configuration>
<property>
<name>dfs.namenode.keytab.file</name>
<value>/etc/krb5.keytab</value>
</property>
<property>
<name>dfs.namenode.kerberos.principal</name>
Hadoop
384
OneFS
7.1 
Web Administration Guide
XDoc.Converter for .NET, Support Documents and Images Conversion
This .NET file converter SDK supports various commonly used document Office (2003 and 2007) Word, Excel, PowerPoint, PDF, Tiff, Dicom, SVG, Jpeg, Png, Bmp
convert pdf file into jpg format; c# convert pdf to jpg
VB.NET PDF Converter Library SDK to convert PDF to other file
As this VB.NET PDF converter component plug-in embeds several image image converting applications, like PDF to tiff conversion, PDF to JPEG conversion and
.net pdf to jpg; convert pdf into jpg
<value>hdfs/<hostname>@<REALM | DOMAIN></value>
</property>
<property>
<name>dfs.datanode.keytab.file</name>
<value>/etc/krb5.keytab</value>
</property>
<property>
<name>dfs.datanode.kerberos.principal</name>
<value>hdfs/<hostname>@<REALM | DOMAIN></value>
</property>
</configuration>
2. Save the changes to the file.
3. Restart the Hadoop daemons on the compute client to apply the changes in the
Hadoop configuration file.
Modify the core-site.xml file for authentication and authorization
You must provide the values for authentication and authorization in the core-
site.xml file.
On the Hadoop compute client, add the following authentication and authorization
properties to the core-site.xml file.
Procedure
1. Open the file core-site.xml with a text editor and make the following changes,
using the following example for configuring two compute clients with a service
principal name (SPN):
<?xml version="1.0"?>
<!-- core-site.xml -->
<configuration>
<property>
<name>fs.default.name</name>
<value>hdfs://<cluster-SmarConnect-name>:8020</value> 
<!--make sure you have the isi_hdfs_d license 
on the cluster-->
</property>
<property>
<name>hadoop.rpc.protection</name>
<value>authentication</value>
<description>
This field sets the quality of protection for secured sasl
connections. Possible values are authentication, integrity 
and privacy. Authentication means authentication only and 
no integrity or privacy; integrity implies authentication
and integrity are enabled; and privacy implies all of 
authentication, integrity and privacy are enabled.
</description>
</property>
<property><property>
<name>hadoop.security.authentication</name>
<value>kerberos</value>
</property>
<property>
<name>hadoop.security.authorization</name>
<value>true</value>
</property>
</configuration>
2. Save the changes to the file.
3. Restart the Hadoop daemons on the compute client to apply the changes in the
Hadoop configuration file.
Hadoop
Modifying Hadoop configuration files for Kerberos authentication
385
C# PDF Converter Library SDK to convert PDF to other file formats
Help to convert PDF to multiple image formats, including GIF, BMP, JPEG, PNG and so on. Remarkably, this PDF document converter control for C#.NET can
convert pdf images to jpg; change pdf to jpg online
C# Create PDF from images Library to convert Jpeg, png images to
NET converter control for It enables you to build a PDF file with one or more images. Various image forms are supported which include Png, Jpeg, Bmp, and Gif
changing pdf file to jpg; batch convert pdf to jpg online
Modify the mapred-site.xml file.
You must provide the values for JobTracker and TaskTracker in the mapred-site.xml
file.
On the Hadoop compute client, add the following authentication and authorization
properties in the mapred-site.xml file.
Note
To run Hadoop jobs or distcp, you must make sure that the principals that the Hadoop
daemons are using, the value of the TaskTracker’s and JobTracker’s Kerberos principal in
mapred-site.xml, map to users on the Isilon cluster and can be resolved on the
cluster by using either OneFS local users or users from LDAP or Active Directory.
Procedure
1. Open the file mapred-site.xml with a text editor.
2. Add the principal for the JobTracker and the location of its keytab file to mapred-
site.xml, using the following example for configuring two compute clients with a
service principal name (SPN):
<?xml version="1.0"?>
<!-- mapred-site.xml -->
<configuration>
<property>
<name>mapreduce.jobtracker.kerberos.principal</name>
<value><jt-user-name>/_HOST@<REALM | DOMAIN></value>
</property>
<property>
<name>mapreduce.jobtracker.keytab.file</name>
<value>/etc/<jt-user-name>.keytab</value>
</property>
Next, add the principal for the TaskTracker and the location of its keytab file, using the
following example:
<property>
<name>mapreduce.tasktracker.kerberos.principal</name>
<value><tt-user-name>/_HOST@<REALM | DOMAIN></value>
</property>
<property>
<name>mapreduce.tasktracker.keytab.file</name>
<value>/etc/<tt-user-name>.keytab</value>
</property>
</configuration>
3. Save the changes to the file.
4. Restart the Hadoop daemons on the compute client to apply the changes in the
Hadoop configuration file.
Test the Kerberos connection to the cluster
You should verify that the connection to your cluster through Kerberos is working.
Before you begin
These instructions assume the following prerequisites:
u
You have already configured a Kerberos system with a resolvable hostname for the
KDC and a resolvable hostname for the KDC admin server.
Test the connection from a compute client and then run a sample MapReduce job to
verify your configuration.
Hadoop
386
OneFS
7.1 
Web Administration Guide
Procedure
1. On a compute client, run the following commands to validate the connection to the
cluster:
su hdfs
kinit hdfs@<REALM | DOMAIN>
$HADOOP_HOME/bin/hadoop fs -ls /
2. Run commands similar to the following example to initiate a MapReduce job:
passwd hdfs <password>
su – hdfs
$HADOOP_HOME/sbin/start-yarn.sh
$HADOOP_HOME/bin/hadoop jar \ 
$HADOOP_EXAMPLES/hadoop-mapreduce-examples.jar pi 100 1000000
Sample commands for configuring MIT Kerberos authentication over HDFS
These command-line examples move through the commands to set up OneFS to work
with an MIT Kerberos 5 KDC.
The following command example configures an Isilon SmartConnect zone named wai-
kerb-sc:
kdc-demo-1# isi networks modify subnet --name=subnet0 \
--sc-service-addr=192.0.2.17
Modifying subnet 'subnet0':
Saving: OK
kdc-demo-1# isi networks modify pool --name=subnet0:pool0 \
--zone=wai-kerb-sc --sc-subnet=subnet0
Modifying pool 'subnet0:pool0': Saving: OK
The following command example runs on an Isilon node named kdc-demo-1. The name of
the MIT Kerberos 5 KDC and admin server is york.east.example.com.
kdc-demo-1# isi auth krb5 add realm \
--realm=EAST.EXAMPLE.COM --kdc=york.east.example.com \
--admin-server=york.east.example.com
kdc-demo-1# isi auth krb5 modify default \
--default-realm=EAST.EXAMPLE.COM
kdc-demo-1# isi auth krb5 write
kdc-demo-1# kadmin -p root/admin@EAST.EXAMPLE.COM
Authenticating as principal root/admin@EAST.EXAMPLE.COM with password.
Password for root/admin@EAST.EXAMPLE.COM:
kadmin: quit
kdc-demo-1# ping wai-kerb-sc
PING wai-kerb-sc.east.example.com (192.0.2.11): 56 data bytes
64 bytes from 192.0.2.11: icmp_seq=0 ttl=64 time=0.561 ms
kdc-demo-1# isi hdfs krb5 --kerb-instance=wai-kerb-sc
Add this principal to your KDC:  \
hdfs/wai-kerb-sc.east.example.com@<YOUR-REALM.COM>
kdc-demo-1# kadmin -p root/admin
Authenticating as principal root/admin with password.
Password for root/admin@EAST.EXAMPLE.COM:
kadmin: add_principal -randkey hdfs/wai-kerb-sc.east.example.com 
WARNING: no policy specified for 
hdfs/wai-kerb-sc.east.example.com@EAST.EXAMPLE.COM; 
defaulting to no policy
Principal "hdfs/wai-kerb-sc.east.example.com@EAST.EXAMPLE.COM"
created.
kadmin: ktadd -k /ifs/hdfs.keytab hdfs/wai-kerb-sc.east.example.com 
Entry for principal hdfs/wai-kerb-sc.east.example.com with kvno 3, 
Hadoop
Sample commands for configuring MIT Kerberos authentication over HDFS
387
encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to
keytab WRFILE:/ifs/hdfs.keytab.
Entry for principal hdfs/wai-kerb-sc.east.example.com with kvno 3,
encryption type ArcFour with HMAC/md5 added to keytab 
WRFILE:/ifs/hdfs.keytab.
Entry for principal hdfs/wai-kerb-sc.east.example.com with kvno 3,
encryption type Triple DES cbc mode with HMAC/sha1 added to keytab
WRFILE:/ifs/hdfs.keytab.
Entry for principal hdfs/wai-kerb-sc.east.example.com with kvno 3,
encryption type DES cbc mode with CRC-32 added to keytab 
WRFILE:/ifs/hdfs.keytab.
kdc-demo-1# for ip in `isi_nodes %{internal}`;
do scp /ifs/hdfs.keytab
$ip:/etc/;done 
Password:
hdfs.keytab 100% 666 0.7KB/s 0.7KB/s 00:00 
Max throughput: 0.7KB/s
kdc-demo-1# kinit -k -t /etc/hdfs.keytab \
hdfs/wai-kerb-sc.east.example.com
kdc-demo-1# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal:
hdfs/wai-kerb-sc.east.example.com@EAST.EXAMPLE.COM 
Valid starting Expires Service principal
01/28/14 15:15:34 01/29/14 01:15:34 
krbtgt/EAST.EXAMPLE.COM@EAST.EXAMPLE.COM
renew until 01/29/14 15:13:46 kdc-demo-1# kdestroy
kdc-demo-1# isi hdfs krb5 --keytab=/etc/hdfs.keytab
Troubleshooting Kerberos authentication
Kerberos authentication problems can be difficult to diagnose, but you can check the
following settings to troubleshoot your configuration.
Follow these steps to troubleshoot authentication problems:
u
Check all the configuration parameters, including the location and validity of the
keytab file.
u
Check user and group accounts for permissions. Make sure that there are no
duplicate accounts across systems, such as a local hdfs account on OneFS and an
hdfs account in Active Directory.
u
Make sure that the system clocks on the Isilon nodes and the Hadoop clients are
synchronized with a formal time source such as Active Directory or NTP. The Kerberos
standard requires that system clocks be no more than 5 minutes apart.
u
Check to confirm that the service principal name of a Hadoop service, such as
TaskTracker, is not mapped to more than one object in Active Directory.
Hadoop
388
OneFS
7.1 
Web Administration Guide
CHAPTER 22
Antivirus
This section contains the following topics:
u
Antivirus overview...............................................................................................390
u
On-access scanning............................................................................................390
u
Antivirus policy scanning.....................................................................................391
u
Individual file scanning.......................................................................................391
u
Antivirus scan reports.........................................................................................391
u
ICAP servers........................................................................................................392
u
Supported ICAP servers.......................................................................................392
u
Anitvirus threat responses...................................................................................392
u
Configuring global antivirus settings...................................................................393
u
Managing ICAP servers........................................................................................395
u
Create an antivirus policy....................................................................................397
u
Managing antivirus policies.................................................................................397
u
Managing antivirus scans....................................................................................398
u
Managing antivirus threats..................................................................................399
u
Managing antivirus reports..................................................................................401
Antivirus
389
Antivirus overview
You can scan the files you store on an Isilon cluster for computer viruses and other
security threats by integrating with third-party scanning services through the Internet
Content Adaptation Protocol (ICAP). OneFS sends files through ICAP to a server running
third-party antivirus scanning software. These servers are referred to as ICAP servers.
ICAP servers scan files for viruses.
After an ICAP server scans a file, it informs OneFS of whether the file is a threat. If a threat
is detected, OneFS informs system administrators by creating an event, displaying near
real-time summary information, and documenting the threat in an antivirus scan report.
You can configure OneFS to request that ICAP servers attempt to repair infected files. You
can also configure OneFS to protect users against potentially dangerous files by
truncating or quarantining infected files.
Before OneFS sends a file to be scanned, it ensures that the scan is not redundant. If a
file has already been scanned and has not been modified, OneFS will not send the file to
be scanned unless the virus database on the ICAP server has been updated since the last
scan.
Note
Antivirus scanning is available only if all nodes in the cluster are connected to the
external network.
On-access scanning
You can configure OneFS to send files to be scanned before they are opened, after they
are closed, or both. Sending files to be scanned after they are closed is faster but less
secure. Sending files to be scanned before they are opened is slower but more secure.
If OneFS is configured to ensure that files are scanned after they are closed, when a user
creates or modifies a file on the cluster, OneFS queues the file to be scanned. OneFS then
sends the file to an ICAP server to be scanned when convenient. In this configuration,
users can always access files without any delay. However, it is possible that after a user
modifies or creates a file, a second user might access the file before the file is scanned. If
a virus was introduced to the file from the first user, the second user will be able to
access the infected file. Also, if an ICAP server is unable to scan a file, the file will still be
accessible to users.
If OneFS ensures that files are scanned before they are opened, when a user attempts to
download a file from the cluster, OneFS first sends the file to an ICAP server to be
scanned. The file is not sent to the user until the scan is complete. Scanning files before
they are opened is more secure than scanning files after they are closed, because users
can access only scanned files. However, scanning files before they are opened requires
users to wait for files to be scanned. You can also configure OneFS to deny access to files
that cannot be scanned by an ICAP server, which can increase the delay. For example, if
no ICAP servers are available, users will not be able to access any files until the ICAP
servers become available again.
If you configure OneFS to ensure that files are scanned before they are opened, it is
recommended that you also configure OneFS to ensure that files are scanned after they
are closed. Scanning files as they are both opened and closed will not necessarily
improve security, but it will usually improve data availability when compared to scanning
files only when they are opened. If a user wants to access a file, the file may have already
Antivirus
390
OneFS
7.1 
Web Administration Guide
Documents you may be interested
Documents you may be interested