0582-5.16.1-1.4.2-后台脚本无感知为CDSW用户绑定Kerberos账号(keytab认证)

最新推荐文章于 2023-11-16 11:18:15 发布
最新推荐文章于 2023-11-16 11:18:15 发布
阅读量359 收藏
点赞数
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/102995149
版权

1 文档编写目的

在前面的文章Fayson介绍了在CDSW用户无感知的情况下通过API接口以密码的方式为不同的业务用户绑定Kerberos账号,CDSW的Hadoop Authentication认证方式提供密码和Keytab两种方式。本篇文章Fayson主要介绍通过API接口以keytab的方式为用户绑定Kerberos账号。

  • 测试环境

1.RedHat7.4

2.CDSW版本为1.4.2

3.CM和CDH版本为5.16.1

2 涉及API接口

在这篇文章中Fayson主要介绍通过API接口以keytab的方式为不同的业务用户绑定Kerberos账号,本篇文章涉及到的API接口如下:

  • 为指定用户创建一个上传keytab的flow upload id接口
请求地址:http://{cdsw_domain}/api/v1/users/{user}/upload
请求类型:POST
请求参数:{"uploadType":"kerberosCredentials","kerberosCredentials":{"principal":"fayson","clusterId":1}}
返回值:{"flowUploadId":"f08771dbff8c560a91d0dc690d0104989d874af2fb2049bbbf66483270218308"}
  • 为指定用户上传keytab文件接口
请求地址:http://{cdsw_domain}/api/v1/users/{user}/upload/chunk
请求类型:POST
请求参数:
flowUploadId:上一步请求返回的flow upload id
flowChunkNumber:1
flowChunkSize:5 * 1024 * 102
flowCurrentChunkSize:498(keytab文件大小)
flowTotalSize:498(keytab文件大小)
flowIdentifier:{filesize}-fayson.keytab(重命名keytab文件名)
flowFilename:fayson.keytab(keytab文件名)
flowRelativePath:fayson.keytab(keytab文件名)
file:@/root/fayson.keytab(指定本地keytab文件路径,主要“@”)
flowTotalChunks:1
返回值:{"status": "OK"}
  • 获取绑定状态API接口
请求地址:http://{cdsw_domain}/api/v1/users/admin/upload/downstream-result?flowUploadId={flowUploadId}
请求类型:GET
返回值:{"status": "success","content": "xxx”}
  • 注销Kerberos绑定
请求地址:http://{cdsw_domain}/api/v1/users/{user}/kerberos-credentials?clusterId=1
请求类型:DELETE

3 绑定Kerberos账号

本章节测试主要使用curl命令方式调用API接口,为不同的业务用户绑定Kerberos账号。

1.准备一个fayson.keytab文件

2.admin用户绑定Kerberos账号之前

3.在命令行执行如下命令创建一个flow upload id

[root@cdsw ~]# curl -u 'admin:123456' -X POST -H "Content-Type:application/json" -d '{"uploadType":"kerberosCredentials","kerberosCredentials":{"principal":"fayson","clusterId":1}}' 'http://cdsw.fayson.com/api/v1/users/admin/upload'

4.通过指定flow upload id及keytab文件大小等信息调用上传keytab接口

curl -u 'admin:123456' -X POST -F "flowUploadId=f08771dbff8c560a91d0dc690d0104989d874af2fb2049bbbf66483270218308" \
 -F "flowChunkNumber=1" \
 -F "flowChunkSize=5242880" \
 -F "flowCurrentChunkSize=1002" \
 -F "flowTotalSize=1002" \
 -F "flowIdentifier=1002-faysonkeytab" \
 -F "flowFilename=fayson.keytab" \
 -F "flowRelativePath=fayson.keytab" \
 -F "file=@/root/fayson.keytab" \
 -F "flowTotalChunks=1" \
"http://cdsw.fayson.com/api/v1/users/admin/upload/chunk"

5.keytab上传成功后,通过如下接口获取绑定结果

curl -u 'admin:123456' -X GET http://cdsw.fayson.com/api/v1/users/admin/upload/downstream-result?flowUploadId=f08771dbff8c560a91d0dc690d0104989d874af2fb2049bbbf66483270218308

6.登录admin用户查看Kerberos绑定成功

7.启动一个Session进行测试

Yarn上查看Spark作业运行成功

4 总结

1.通过keytab的认证方式绑定相较于之前的密码认证方式绑定会复杂些,API的调用需要按照顺序,先获取flow upload id后才可以上传keytab文件,最后通过接口获取绑定结果。

2.在API请求地址中注意,如果需要为某个业务用户设置Kerberos账号则将请求地址中的{user}修改为相应的用户即可。

3.在上传keytab文件时,需要注意文件的大小要根据实际文件大小进行设置,否则会报错。

4.上传文件时file属性指定本地文件前需要加“@”,否则会报文件路径异常问题。

5.这里的API接口有个漏洞,并未做严格的用户权限控制,只要是认证通过的用户均可以随意为其它用户进行Kerberos账号绑定及注销操作。

疑问:关于上传keytab的API接口中,ChunkNumber和flowTotalChunks参数设置为1,暂不没搞懂该值如何生成,目前keytab文件不特别大设置为1不会出现问题。

https://blog.csdn.net/coloriy/article/details/47293525

Hadoop_SC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ambari-Server Rest API处理3(用户鉴权、操作权限检查管理)
随心的专栏
10-31 3150
目录 基础知识准备 1.1. IDEA远程调试Ambari-Server 1.1.1. 在IDEA中配置远程服务器 1.1.2. 以Debug模式启动Ambari-Server 1.1.3. 在IDEA中连接Ambari-Server 1.2. Rest API 说明 1.2.1. 使用curl发送Rest API请求 1.2.2. Ambari-Server中基本的Rest API请
Metrics 监控请求处理
随心的专栏
09-16 6782
1 引言 2 Widget 2.1 Widget相关的数据表 2.2Widget相关请求 3 Metrics 3.1Ambari Server Metrics Rest API 1 引言 Ambari处理Meterics相关的请求分为两部分:1,widget相关的,负责Metrics消息的布局、显示;2,metrics数据请求,负责获取实时数据。下面主要从这两方面...
0583-5.16.1-1.4.2-后台脚本感知CDSW用户绑定Kerberos账号(密码认证)
Hadoop_SC的博客
11-10 260
1 文档编写目的 业务用户在安全环境下使用CDSW服务,为了防止用户Kerberos账号和密码泄露问题,需要管理系统统一的为业务用户分发Kerberos账号。本篇文章Fayson主要介绍如何通过CDSW API的方式为不同的业务用户设置Kerberos信息。 测试环境 1.RedHat7.4 2.CDSW版本为1.4.2 3.CM和CDH版本为5.16.1 2 涉及API接口 在这篇文章中...
0502-CDSW中访问Kerberos环境下的Kafka
Hadoop_SC的博客
12-30 232
1 文档编写目的 Fayson在前面的文章《0500-使用Python2访问Kerberos环境下的Kafka》和《0501-使用Python访问Kerberos环境下的Kafka(二)》中介绍了两种方式访问Kerberos环境下的Kafka。在前面文章的基础上Fayson介绍在CDSW访问Kerberos环境下的Kafka。 在学习本篇文章内容前你还需要知道《如何通过Cloudera Manag...
开源网关 Apache APISIX 认证鉴权精细化实战讲解
dotNET跨平台
12-25 2007
关注公众号并添加到“星标⭐”,防止错过消息后台回复【资料包】获取学习资料GitOps 新手入门到专家进阶实战详细教程作者钱勇,API7.ai 开发工程师,Apache APISIX Committer在当下云原生越发成熟的环境下,API 网关最核心的功能可以概括为:连接 API 消费者和 API 提供者。实际场景中,除去少部分允许匿名访问的 API 外,提供者往往都会对消费者有所限制,比如只有符合...
接口常见安全漏洞说明
明光札记
12-31 7474
缺少对象级访问控制(数据越权) 漏洞评级: 可利用性:★★★ 普遍性:★★★ 危害性:★★★ 漏洞描述: 攻击者可以通过操作请求中发送的对象的ID,导致未经授权访问敏感数据暴露。这个问题在基于API的应用程序中非常常见,因为服务器组件通常不完全跟踪客户机的状态,而是更多地依赖于从客户机发送的参数(如对象id)来决定访问哪些对象 具体表现: 没有检查已登录的用户是否有权对请求的对象执行请求的操作 漏...
kerberos】使用 curl 访问受 Kerberos HTTP SPNEGO 保护的 URL
Mrerlou的博客
11-16 1048
大数据集群集成Kerberos 后,很多 WEBUI 打开都会提示输入用户名和密码。这里介绍如何使用 curl 命令行的方式来访问受 Kerberos HTTP SPNEGO 保护的 URL。
CDSW安装手册
weixin_33774883的博客
08-13 730
为什么80%的码农都做不了架构师?>>> ...
创建keytab用户和对应的文件脚本
记录工作所遇问题及个人概念理解
10-11 812
使用:sh kdc.sh 用户名 #!/bin/bash # 本脚本目的是为了创建keytab用户和对应的文件 function create_user_principal(){ kadmin.local -q "addprinc -randkey $1" &>/dev/null } function create_keytab_file(){ kadmin.local -q "xst -norandkey -k $1.keytab $1" &>/dev/nul
利用CURL命令调用WebHDFS REST API与Kerberos机制
tanzhangwen的专栏
09-26 8900
1. CURL安装 cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。cURL还包含了用于程序开发的libcurl。CURL官方网站:http://curl.haxx.se/ 1.1 Linux安装 这个网上资料比较多,只要搜索“curl 安装 linux”就应该有不少介绍。 1.
[Kerberos基础]-- httpclient访问httpfs服务(有Kerberos认证)
欢迎来到我的博客,一起探索代码里的世界!
07-09 5678
场景:cdh集群已经添加kerberos认证,但是需要访问httpfs服务,怎么办? 如下实现: 1、引入maven <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/...
生成keytab脚本
qq_40302627的博客
05-21 1054
#!/bin/bash #判断目录是否存在 [ ! -d /cib/keytabs/users ] && mkdir /cib/keytabs/users user=$1 order=$2 path='/cib/keytabs/users' cd $path #生成keytab case $order in "add"){ if [ -n "$user" ];then echo "正在生成 $user.keytab" kadmin.local -q "addprinc-randkey
关于kerberos使用keytab安全认证连接hive票据过期的问题及解决方法。
热门推荐
weixin_43172032的博客
06-20 1万+
关于kerberos使用keytab安全认证连接hive票据过期的问题及解决方法问题描述解决方法 问题描述 本人在使用HiveStreaming的过程中,使用kerberos keytab进行安全验证,程序会保持长期连接。(hive jdbc 连接也要同样的问题) 登录主要代码: LoginContext lc = new LoginContext(clientName, new TextCall...
0662-6.2.0-CDSW集成Active Directory后登录异常分析
Hadoop_SC的博客
09-13 377
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 问题现象 测试环境 1.Redhat7.4 2.CDH6.2.0 3.CDSW1.5.0 Fayson在前面的文章《09-如何为CDSW集成Active Directory认证》,在CDSW集成AD后,有部分...
kerberos认证可以通过keytab文件认证用户
fanchw的专栏
07-07 7433
1.获取认证密码 klist -kt /etc/hyperbase1/conf/hyperbase.keytab [root@node11 ~]# klist -kt /etc/hyperbase1/conf/hyperbase.keytab Keytab name: FILE:/etc/hyperbase1/conf/hyperbase.keytab KVNO Timestamp Principal ---- ------------------- ------------
基于Springboot和Vue的人口老龄化社区服务与管理平台源码 人口老龄化社区服务与管理平台代码(高分优秀毕业设计)
08-12
人口老龄化社区服务与管理平台源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
全球液对液冷却液分配单元(CDU)行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
08-12
全球液对液冷却液分配单元(CDU)行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
2024“钉耙编程”中国大学生算法设计超级联赛(1)-资料包new.zip
最新发布
08-12
2024“钉耙编程”中国大学生算法设计超级联赛(1)-资料包new.zip
创建kudu表_0611-5.16.1-Kudu表执行COMPUTE STATS 命令异常分析
05-25
当执行`COMPUTE STATS`命令时,可能会出现各种异常。下面是可能导致异常的几个原因: 1. 表不存在或无法访问 - 确保表已创建并且您有足够的权限来访问它。 2. Kudu Master不可用 - 确保Kudu Master正在运行并可用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值