hive配置Kerbros安全认证_hive kereveros,后台开发网络安全岗

最新推荐文章于 2024-04-26 17:27:15 发布
最新推荐文章于 2024-04-26 17:27:15 发布
阅读量752 收藏 18
点赞数 27
分类专栏: 2024年程序员学习 文章标签: 安全 hive web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83739503/article/details/137868640
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

Kerberos是一种基于对称密钥技术的身份认证协议,它作为一个独立且可靠的的第三方的身份认证服务,可以为其它服务提供身份认证功能,且支持SSO(即客户端身份认证后,可以访问多个服务如HBase/HDFS等)。

Kerberos协议过程主要有两个阶段,第一个阶段是KDC对Client身份认证,第二个阶段是Service对Client身份认证。如下图:

俗语:

KDC:Kerberos的服务端程序;密钥分发中心,负责管理发放票据,记录授权。
Client:需要访问服务的用户(principal),KDC和Service会对用户的身份进行认证。
Service:集成了Kerberos的服务,如HDFS/YARN/HBase等。
principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl的形式为 主名称/实例名@领域名。
TGT : 票证授予票证。
SGT : 服务授予票证。

认证步骤:

  • KDC对Client身份认证
    当客户端用户(principal)访问一个集成了Kerberos的服务之前,需要先通过KDC的身份认证。
    若身份认证通过,则客户端会获取到一个TGT(Ticket Granting Ticket,票据),后续就可以使用该TGT去访问集成了Kerberos的服务。
  • Service对Client身份认证
    当用户获取TGT后,就可以继续访问Service服务。它会使用TGT以及需要访问的服务名称(如 HDFS)去KDC获取SGT(Service Granting Ticket),然后使用SGT去访问 Service,Service会利用相关信息对Client进行身份认证,认证通过后就可以正常访问Service服务。

1.3 Kerbros的安装部署

1.3.1 Kerbros服务端安装(KDC)
[root@hadoop01 ~]# yum install -y krb5-server krb5-lib krb5-workstation
或者使用下面这个:
yum install -y krb5-server krb5-libs krb5-auth-dialog krb5-workstation
1.3.2 Kerbros客户端安装
客户机在hadoop的从节点上安装即可。
[root@hadoop02 ~]# yum install -y krb5-libs krb5-workstation
[root@hadoop03 ~]# yum install -y krb5-libs krb5-workstation
1.3.3 KDC的配置
在安装的kerbros服务端上修改即可。
​
[root@hadoop01 ~]# vi /var/kerberos/krb5kdc/kdc.conf
修改内容如下:
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
​
[realms]
# EXAMPLE.COM = {
#  #master_key_type = aes256-cts
#  acl_file = /var/kerberos/krb5kdc/kadm5.acl
#  dict_file = /usr/share/dict/words
#  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
#  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
# }
​
 HIVE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  max_renewable_life = 7d
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

配置说明:

HIVE.COM:是设定的realms。名字随意。Kerberos可以支持多个realms,一般全用大写
master_key_type,supported_enctypes默认使用aes256-cts。由于,JAVA使用aes256-cts验证方式需要安装额外的jar包,这里暂不使用
acl_file:标注了admin的用户权限。文件格式是
Kerberos_principal permissions [target_principal] [restrictions]支持通配符等
admin_keytab:KDC进行校验的keytab
supported_enctypes:支持的校验方式。注意把aes256-cts去掉
1.3.4 krb5.conf配置
krb5.conf需要再kerbros的服务和客户端都配置。
kerbros服务端配置:
[root@hadoop01 ~]# vi /etc/krb5.conf
​
替换内容如下:
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
​
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
​
[libdefaults]
# dns_lookup_realm = false
# ticket_lifetime = 24h
# renew_lifetime = 7d
# forwardable = true
# rdns = false
# pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
## default_realm = EXAMPLE.COM
# default_ccache_name = KEYRING:persistent:%{uid}
 default_realm = HIVE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 clockskew = 120
 udp_preference_limit = 1
​
[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }
 HIVE.COM = {
  kdc = hadoop01
  admin_server = hadoop01
 }
​
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
 .hive.com = HIVE.COM
 hive.com = HIVE.COM
 
 
 kerbros客户端配置:
[root@hadoop02 ~]# vi /etc/krb5.conf
内容如上
[root@hadoop03 ~]# vi /etc/krb5.conf
内容如上

配置说明:

[logging]:表示server端的日志的打印位置
udp_preference_limit = 1 禁止使用udp可以防止一个Hadoop中的错误
ticket_lifetime: 表明凭证生效的时限,一般为24小时。
renew_life
最低0.47元/天 解锁文章
2401_83739503
关注
  • 27
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hive安装讲义(linux_hive windows_mysql)
09-14
Hive安装讲义(linux_hive windows_mysql) Hive是基于Hadoop的数据仓库工具,用于存储、查询和分析大规模数据。为了实现Hive的安装和配置,需要满足一定的前提条件和环境要求。下面是Hive安装讲义的详细步骤和相关...
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问
m0_59598029的博客
02-24 1735
1.Hive 配置 Kerberos2. Hive Cli使用Kerberos​​​​​​​3. Hive beeline使用Kerberos​​​​​​​​​​​​​​4. JDBC访问Kerberos认证Hive​​​​​​​5. Spark访问Kerberos认证Hive​​​​​​​​​​​​​​6. Flink访问Kerberos认证Hive技术连载系列,前面内容请参考前面连载9内容:​​​​​​​。
hive配置Kerbros安全认证_hive kereveros(1)
最新发布
2401_84264610的博客
04-26 273
因为服务器上可以访问keytab文件即可以以principal的身份通过kerberos认证,所以,keytab文件应该被妥善保存,应该只有少数的用户可以访问。将生成的hdfs.keytab文件复制到hadoop配置路径下,并授权 后面经常会遇到使用keytab login失败的问题,首先需要检查的就是文件的权限。hive配置kerberos的前提是Hadoop集群已经配置Kerberos,因此我们先来配置Hadoop集群的认证。输入规则和密码,,两次密码相同即可,我是用的是root。
hive数据源认证kerberos
qq_41159818的博客
12-02 342
请参考转载
Hive权限认证模块详解
Deegue
03-13 3092
1、前言 前段时间,在升级Hive版本(从Hive1.1.0升级至Hive2.3.6)的过程中,遇到了权限兼容问题。 (升级相关请移步Hive1.1.0升级至2.3.6 踩坑记录) Hive1.1.0使用的是AuthorizerV1而Hive2.3.6默认是AuthorizerV2,两者相差极大。 其中AuthorizerV2的权限验证极为严格,如果曾经使用V1鉴权想要使用V2的,需要修改部分代码...
hive的三种Authentication认证机制配置和使用
数字化时代下,新IT人的转型之路
03-08 6428
技术层面3A+1E:Authentication 认证,Authorization 鉴权,和Audit 审计;Encrption 加密 hive身份认证的三种方式 NONE:即不做身份校验; LDAP: 使用基于 LDAP/AD 的用户身份校验; KERBEROS: 使用 Kerberos/GSSAPI 做身份校验; hive.server2.authentication = none 不做任何校验,登陆时可以不配置用户名密码,在服务端hive会显示匿名...
Hive安装讲义(linux_hive linux_mysql)
09-14
Hive安装讲义(linux_hive linux_mysql) Hive安装讲义中涵盖了Hive的安装过程,包括Hadoop和MySQL的安装。下面是从给定的文件中生成的相关知识点: 一、Hadoop 安装 * Hadoop 安装是Hive 运行环境的前提条件 * ...
Hive_JDBC.zip_hive java_hive jdbc_hive jdbc pom_java hive_maven连
09-23
hive JDBC连接实例 maven工程
连接hive依赖的jar包_hive连接方式
01-05
DateGrip连接Hive时添加驱动文件时使用
test_hive.rar_ThriftHive.php_hive_hive php_php hive_php hive Thr
09-21
一个基于thrift的进行使用php操作hive的一个类库的封装。
hive配置Kerbros安全认证
qianfeng_dashuju的博客
07-07 1590
需求: 对新建hadoop集群和hive集群的安全认证安装部署。 ​ 版本: centos 7.7 hadoop 2.7.6 hive 1.2.2 ​ 部署规划: 192.168.216.111 hadoop01 namenode、resourcemanager、datanode、nodemanager、hive、KDC服务 192.168.216.112 hadoop02 datanode、nodemanager、secondarynamenode、kerbros客户端 192.168.216.113.
Keberos安全认证学习
JY_He的博客
05-07 1369
因为,最近要做大数据组件的安全认证,需要涉及到kerberos这个组件,记录相关资料,后续查看。 Kerberos 是一种网络认证协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型。用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticket-granting ticket)访问多...
hive自定义安全认证登录
邢宁
01-09 2765
1、自定义认证需新添加一个jar #jar包我已经上传到我的资源里面了,有需要可以有偿下载 cp hive-server2.jar /data/apache-hive-1.2.1-bin/lib 2、修改hive-site.xml <property> <name>hive.server2.thrift.port</name> <value>10000</value> </property> <property&
大数据全栈式运维开发
11-21
本次课程让学员全面系统地学习大数据平台运维,开发的操作。课程内容涉及到大数据生态系统的各项工具,内容全面,讲解细致,助您全面掌握大数据平台运维及开发工具的作用
Kerberos (五) --------- Hive 用户认证配置
在森林里麋了鹿
11-02 1482
Hive 用户认证配置
[一起学Hive]之二十-自定义HiveServer2的用户安全认证
tony的专栏
05-06 5049
HiveServer2提供了JDBC链接操作Hive的功能,非常实用,但如果在使用HiveServer2时候,不注意安全控制,将非常危险,因为任何人都可以作为超级用户来操作Hive及HDFS数据。 比如:在配置HiveServer2的时候,hive.server2.authentication=NONE,表示没有用户认证。 使用beeline,模拟成超级用户hadoop,成功连接到
大数据Hive系列之HiveServer2用户安全认证
热门推荐
飞翔的博客
10-26 1万+
1. 概述1.1 目的HiveServer2提供了JDBC链接操作Hive的功能,非常实用,但如果在使用HiveServer2时候,不注意安全控制,将非常危险,因为任何人都可以作为超级用户来操作Hive及HDFS数据。1.2 认证方式HiveServer2支持多种用户安全认证方式:NONE,NOSASL, KERBEROS, LDAP, PAM ,CUSTOM等等,本文采用CUSTOM。2. 编写代
HIVE身份验证
hua_ed的专栏
06-15 2790
三、HIVE身份验证 1.开启Hive的身份认证功能,默认是false hive.security.authorization.enabled true Enable or disable the hive client authorization 2.表创建者用于的权限配置hive.security.authorization.createtable.owne
hive分区hive_DEFAUL_T_PARTITION
02-03
Hive是一个基于Hadoop的数据仓库工具,它提供了类似于SQL的查询语言HiveQL来处理大规模的结构化数据。Hive中的分区是一种将数据按照特定的列值进行划分和组织的方式,可以提高查询性能和数据管理的灵活性。 在Hive中,默认分区(DEFAULT PARTITION)是指在创建表时没有指定分区列的情况下,Hive会自动创建一个默认分区。默认分区可以理解为没有明确指定分区的数据都会被放到默认分区中。 默认分区的好处是可以方便地处理那些没有明确分区的数据,同时也可以避免因为忘记指定分区而导致数据丢失或者查询错误。但是,默认分区也有一些限制,例如无法对默认分区进行修改或删除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值