Hadoop身份驗證機制中對于Kerberos的支持_第1頁
Hadoop身份驗證機制中對于Kerberos的支持_第2頁
Hadoop身份驗證機制中對于Kerberos的支持_第3頁
Hadoop身份驗證機制中對于Kerberos的支持_第4頁
Hadoop身份驗證機制中對于Kerberos的支持_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

Hadoop身份驗證機制中對于Kerberos的支持Kerberos協(xié)議0102Hadoop平臺上添加Kerberos認(rèn)證Content目錄03Hadoop通過kerberos安全認(rèn)證的分析01

Kerberos協(xié)議Kerberos協(xié)議Kerberos協(xié)議:Kerberos協(xié)議主要用于計算機網(wǎng)絡(luò)的身份鑒別(Authentication),

其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-grantingticket)訪問多個服務(wù),即SSO(SingleSignOn)。由于在每個Client和Service之間建立了共享密鑰,使得該協(xié)議具有相當(dāng)?shù)陌踩韵葋砜纯碖erberos協(xié)議的前提條件:如下圖所示,Client與KDC,

KDC與Service

在協(xié)議工作前已經(jīng)有了各自的共享密鑰,并且由于協(xié)議中的消息無法穿透防火墻,這些條件就限制了Kerberos協(xié)議往往用于一個組織的內(nèi)部,

使其應(yīng)用場景不同于X.509PKI。02

Hadoop平臺上添加Kerberos認(rèn)證

Hadoop平臺上添加Kerberos認(rèn)證1)第一步自然是部署KDC,并配置KDC服務(wù)器上的相關(guān)文件,其中/etc/krb5.conf要復(fù)制到集群內(nèi)所有機子,并創(chuàng)建principal數(shù)據(jù)庫。2)創(chuàng)建認(rèn)證規(guī)則principals和keytab,這個很重要,就是生成每個客戶端相應(yīng)的秘鑰,Keytab是融合主機和Linux上賬號而生成的,復(fù)制keytab到相應(yīng)節(jié)點。使用kerberos進行驗證的原因可靠

Hadoop本身并沒有認(rèn)證功能和創(chuàng)建用戶組功能,使用依靠外圍的認(rèn)證系統(tǒng)高效

Kerberos使用對稱鑰匙操作,比SSL的公共密鑰快操作簡單

用戶可以方便進行操作,不需要很復(fù)雜的指令。比如廢除一個用戶只需要從Kerbores的KDC數(shù)據(jù)庫中刪除即可。03

Hadoop通過kerberos安全認(rèn)證的分析

Hadoop通過kerberos安全認(rèn)證的分析Hadoop通過kerberos安全認(rèn)證的分析1)Hadoop的安全問題——用戶到服務(wù)器的認(rèn)證問題

NameNode,,JobTracker上沒有用戶認(rèn)證

用戶可以偽裝成其他用戶入侵到一個HDFS或者MapReduce集群上。

DataNode上沒有認(rèn)證

Datanode對讀入輸出并沒有認(rèn)證。導(dǎo)致如果一些客戶端如果知道block的ID,就可以任意的訪問DataNode上block的數(shù)據(jù)

JobTracker上沒有認(rèn)證

可以任意的殺死或更改用戶的jobs,可以更改JobTracker的工作狀態(tài)

Hadoop通過kerberos安全認(rèn)證的分析

——服務(wù)器到服務(wù)器的認(rèn)證問題

沒有DataNode,TaskTracker的認(rèn)證

用戶可以偽裝成datanode,tasktracker,去接受JobTracker,Namenode的任務(wù)指派。2)Kerberos解決方案kerberos實現(xiàn)的是機器級別的安全認(rèn)證,也就是前面提到的服務(wù)到服務(wù)的認(rèn)證問題。事先對集群中確定的機器由管理員手動添加到kerberos數(shù)據(jù)庫中,在KDC上分別產(chǎn)生主機與各個節(jié)點的keytab(包含了host和對應(yīng)節(jié)點的名字,還有他們之間的密鑰),并Hadoop通過kerberos安全認(rèn)證的分析并將這些keytab分發(fā)到對應(yīng)的節(jié)點上。通過這些keytab文件,節(jié)點可以從KDC上獲得與目標(biāo)節(jié)點通信的密鑰,進而被目標(biāo)節(jié)點所認(rèn)證,提供相應(yīng)的服務(wù),防止了被冒充的可能性。

——解決服務(wù)器到服務(wù)器的認(rèn)證

由于kerberos對集群里的所有機器都分發(fā)了keytab,相互之間使用密鑰進行通信,確保不會冒充服務(wù)器的情況。集群中的機器就是它們所宣稱的,是可靠的。

防止了用戶偽裝成Datanode,Tasktracker,去接受JobTracker,Namenode的任務(wù)指派。

Hadoop通過Kerberos安全認(rèn)證的分析

——解決client到服務(wù)器的認(rèn)證

Kerberos對可信任的客戶端提供認(rèn)證,確保他們可以執(zhí)行作業(yè)的相關(guān)操作。防止用戶惡意冒充client提交作業(yè)的情況。

用戶無法偽裝成其他用戶入侵到一個HDFS或者MapReduce集群上

用戶即使知道datanode的相關(guān)信息,也無法讀取HDFS上的數(shù)據(jù)

用戶無法發(fā)送對于作業(yè)的操作到JobTracker上

——對用戶級別上的認(rèn)證并沒有實現(xiàn)

無法控制用戶提交作業(yè)的操作。不能夠?qū)崿F(xiàn)限制用戶提交作業(yè)的權(quán)限。不能控制哪些用戶可以提交該類型的作業(yè),哪些用戶不能提交該類型的作業(yè)。這個可以通過ACL

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論