Hadoop(二)---Hadoop集群的安全设置

最新推荐文章于 2024-05-11 02:37:53 发布
最新推荐文章于 2024-05-11 02:37:53 发布
阅读量8.1k 收藏 12
点赞数 1
分类专栏: Hadoop Hadoop实践 文章标签: hadoop 安全模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wee_Mita/article/details/53945665
版权

1.介绍

本文档描述如何在安全模式下配置Hadoop的身份验证。当Hadoop配置为以安全模式运行时,每个Hadoop服务和每个用户必须通过Kerberos进行身份验证。

必须正确配置所有服务主机的正向和反向主机查找,以允许服务彼此进行身份验证。可以使用DNS或/ etc / hosts文件配置主机查找。

Hadoop的安全特性包括认证服务级别授权Web控制台认证数据机密性

2.认证

2.1最终用户帐户

当启用服务级别身份验证时,最终用户必须在与Hadoop服务交互之前进行身份验证。最简单的方法是让用户使用Kerberos kinit命令进行交互式身份验证。当使用kinit的交互式登录不可行时,可以使用使用Kerberos keytab文件的程序化身份验证。

2.2Hadoop守护程序的用户帐户

确保HDFS和YARN后台驻留程序作为不同的Unix用户运行,例如hdfs和yarn。此外,请确保MapReduce JobHistory服务器以不同的用户身份运行,例如mapred。

建议他们共享一个Unix群组,例如hadoop。另请参阅“从用户映射到组”以进行组管理。

User:Group Daemons
hdfs:hadoop NameNode, Secondary NameNode, JournalNode, DataNode
yarn:hadoop ResourceManager, NodeManager
mapred:hadoop MapReduce JobHistory Server

2.3Hadoop守护程序的Kerberos主体

每个Hadoop服务实例必须配置其Kerberos主体和keytab文件位置。

服务主体的一般格式为ServiceName/_HOST@REALM.TLD。例如dn/_HOST@EXAMPLE.COM。

Hadoop通过允许将服务主体的主机名组件指定为_HOST通配符,简化了配置文件的部署。每个服务实例将在运行时用_HOST替换其自己的完全限定主机名。这允许管理员在所有节点上部署同一组配置文件。但是,keytab文件将不同。

HDFS

每个NameNode主机上的NameNode keytab文件应如下所示:
$ klist -e -k -t /etc/security/keytab/nn.service.keytab
Keytab name: FILE:/etc/security/keytab/nn.service.keytab
KVNO Timestamp         Principal
   4 07/18/11 21:08:09 nn/full.qualified.domain.name@REALM.TLD (AES-256 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 nn/full.qualified.domain.name@REALM.TLD (AES-128 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 nn/full.qualified.domain.name@REALM.TLD (ArcFour with HMAC/md5)
   4 07/18/11 21:08:09 host/full.qualified.domain.name@REALM.TLD (AES-256 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 host/full.qualified.domain.name@REALM.TLD (AES-128 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 host/full.qualified.domain.name@REALM.TLD (ArcFour with HMAC/md5)
该主机上的Secondary NameNode keytab文件应如下所示:
$ klist -e -k -t /etc/security/keytab/sn.service.keytab
Keytab name: FILE:/etc/security/keytab/sn.service.keytab
KVNO Timestamp         Principal
   4 07/18/11 21:08:09 sn/full.qualified.domain.name@REALM.TLD (AES-256 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 sn/full.qualified.domain.name@REALM.TLD (AES-128 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 sn/full.qualified.domain.name@REALM.TLD (ArcFour with HMAC/md5)
   4 07/18/11 21:08:09 host/full.qualified.domain.name@REALM.TLD (AES-256 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 host/full.qualified.domain.name@REALM.TLD (AES-128 CTS mode with 96-bit SHA-1 HMAC)
   4 07/18/11 21:08:09 host/full.qualified.domain.name@REALM.TLD (ArcFour with HMAC/md5)
每个主机上的DataNode keytab文件应如下所示:
$ klist -e -k -t /etc/security/keytab/dn.service
最低0.47元/天 解锁文章
狮锅艺
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop(2.7.3)安全模式-hadoop kerberos官方配置详解
m1213642578的专栏
09-06 1万+
这篇文档描述了如何为Hadoop安全模式下配置认证。当Hadoop被配置运行在安全模式下时,每个Hadoop服务和每个用户都必须被Kerberos认证。正向方向的主机去查找所有服务的主机,必须被正确地配置来相互认证。
Hadoop集群安装HTTPS服务
程序猿丶HLK
02-28 1790
安装说明:我是自己搭建的三台虚拟机hadoop01/hadoop02/hadoop03,生成CA证书hdfs_ca_key和hdfs_ca_cert只需要在任意一台节点上完成即可,其他每个节点包括生成证书的节点都需要执行第四步以后的操作,且必须使用root用户执行以下操作: 1.在hadoop01节点生成CA证书,需要输入两次密码,其中CN:中国简称;ST:省份;L:城市;O和OU:公司或个人域...
配置两个Hadoop集群Kerberos认证跨域互信
Mrerlou的博客
06-29 1077
两个Hadoop集群开启Kerberos验证后,集群间不能够相互访问,需要实现Kerberos之间的互信,使用Hadoop集群A的客户端访问Hadoop集群B的服务(实质上是使用Kerberos Realm A上的Ticket实现访问Realm B的服务)。先决条件:1)两个集群(IDC.COM和HADOOP.COM)均开启Kerberos认证2)Kerberos的REALM分别...
2024年最全Hdfs安装模式之完全分布式集群_slave节点多了nodemanager少了(1),2024年最新网络安全面试题目
最新发布
2401_84297265的博客
05-11 902
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。如果只是搭建hdfs,只需要配置core-site.xml和hdfs-site.xml文件就可以了,但是我们过两天要学习的MapReduce是需要YARN资源管理器的,因此,在这里,我们提前配置一下相关文件。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;
Hadoop Web 控制台安全认证
徐小慧_Blog的博客
07-13 2596
Hadoop 2.x 版本,默认情况下,可以通过 http://ip地址:50070/explorer.html 访问HDFS页面,查看Namenode和Datanode状态,以及HDFS的相关文件等。但是这存在安全隐患,可能导致我们的文件信息的泄露,如果我们在页面里面添加个认证机制,只有验证之后的用户才可以进入页面里操作。...
hdfs配置sasl模式
lovebomei的博客
04-19 6222
因为DataNode数据传输协议不使用Hadoop RPC框架,DataNode必须使用由dfs.datanode.address和dfs.datanode.http.address指定的特权端口进行身份验证。此身份验证基于以下假设:攻击者将无法在DataNode主机上获得root权限。 以root用户身份执行hdfs datanode命令时,服务器进程首先绑定特权端口,然后删除特权并以HADO...
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1409
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
Hadoop下载 hadoop-3.3.3.tar.gz
07-06
Hadoop是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进 Hadoop是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不...
hadoop-3.3.4 版本(最新版)
12-14
Hadoop 架构是一个开源的、基于 Java 的编程框架,设计用于跨电脑集群来 处理大数据。Hadoop 是一个能够让用户轻松搭建和使用的分布式计算平台,能 够让用户轻松地在 Hadoop 上开发和运行处理海量数据的应用程序。 ...
Hadoop下载 hadoop-2.9.2.tar.gz
07-06
Hadoop 是一种分析和处理大数据的软件平台,是一个用 Java 语言实现的 Apache 的开源软件框架,在大量计算机组成的集群中实现了对海量数据的分布式计算。 Hadoop 采用 MapReduce 分布式计算框架,根据 GFS 原理开发...
hadoop3.3.0-winutils.rar
07-27
Hadoop3.3.0在windows下部署开发环境或者远程开发hadoop集群,对应的 hadoop.dll和winutils.exe以及整个bin目录 ,以及安装方法 亲测可用,有什么问题可以在评论描述
Hadoop-ha集群搭建
10-09
HadoopHA集群搭建描述及指令,里面有各种注意事项。 集群部署节点角色的规划(3节点) ------------------ server01 namenode resourcemanager zkfc nodemanager datanode zookeeper journal node server02 ...
Hadoop Security三板斧
走在前往架构师的路上
03-08 1524
文章目录前言Hadoop Security要解决的问题Hadoop Security三板斧参考资料 前言 在企业大规模量级的Hadoop集群中,数据的安全性是十分重要的,尤其当集群存储的是一些敏感数据的时候。Hadoop社区在早期release的版本中,并没有完善好其Security部分的功能。但是随着Hadoop系统的不断完善成熟,Security的功能也在不断的完善。那么问题来了,Hadoop的Security到底指的是什么呢?本文笔者来简单聊聊Hadoop Security的三板斧,了解了这三板斧的
Hadoop集群的webUI监控界面设置Simple安全机制
lukabruce的博客
06-10 2836
业务需求: Hadoop集群配置完成,web监控界面的50070和50030端口不需用户验证即可访问,对生产环境是不容许的,需要加上安全机制。 1、修改core-site.xml,增加如下内容,配置完成后拷贝到其他节点上。 <property> <name>hadoop.http.filter.initializers</name> <v...
Hadoop集群web监控页面安全设置
weixin_34279246的博客
09-27 673
2019独角兽企业重金招聘Python工程师标准>>> ...
HadoopHadoop认证代码分析
小哲的博客
11-26 993
Hadoop认证代码分析 Hadoop作为分布式系统,服务分布于多台服务器之间,提供多用户的访问机制,却有着极其简单的认证实现逻辑。 JAAS(Java Authentication Authorization Service)完整的提供了一个认证鉴权的框架,在Hadoop这个看似庞大的架构当中,借助这一体系,在一个单独的Java类中,实现了认证的绝大部分逻辑。 本文主要讲述Hadoop中的认证实...
大数据Hadoop系列之Hadoop Web控制台添加身份验证
m0_67392409的博客
04-12 1612
1. 背景介绍 本文档介绍如何配置Hadoop HTTP Web控制台以要求用户身份验证。 默认情况下,Hadoop HTTP Web控制台(ResourceManager,NameNode,NodeManagers和DataNodes)允许访问而无需任何形式的身份验证。 可以将Hadoop HTTP Web控制台配置为使用HTTP SPNEGO协议(Firefox和Internet Explorer等浏览器支持)进行Kerberos身份验证。 此外,Hadoop HTTP Web控制台支持相当于Hado
Alluxio HA模式部署
Kng_007的博客
06-15 545
Alluxio高可用模式
hadoop的配置选项
热门推荐
u011326189的专栏
12-31 1万+
为方便阅读,特在此整理: core_site.xml 引用:http://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/core-default.xml name value description hadoop.common.configuration.version 0.2
hadoop distcp -skipcrccheck -update 解释
07-11
hadoop distcp -skipcrccheck -update 是一个Hadoop分布式复制命令。它用于将一个Hadoop集群中的文件或目录复制到另一个Hadoop集群中,并具有以下两个选项: 1. -skipcrccheck:这个选项用于跳过CRC校验。CRC(循环冗余校验)是一种用于检测数据传输中的错误的校验机制。在默认情况下,distcp会进行CRC校验以确保数据的准确性。通过使用-skipcrccheck选项,可以跳过CRC校验,从而加快复制过程。 2. -update:这个选项用于仅复制目标集群中不存在或较旧的文件。如果源和目标集群中的文件都存在,并且目标集群中的文件比源集群中的文件新,那么distcp将不会复制这些文件。这可以帮助节省带宽和时间,只复制需要更新的文件。 综上所述,hadoop distcp -skipcrccheck -update命令用于在Hadoop集群之间复制文件或目录,并且可以选择跳过CRC校验和仅复制需要更新的文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值