Hadoop Authentication

最新推荐文章于 2023-11-17 09:09:18 发布
最新推荐文章于 2023-11-17 09:09:18 发布
阅读量2k 收藏
点赞数

JAAS是Java 认证和授权服务(Java Authentication and Authorization Service)的缩写,是PAM框架的Java实现。

javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。

javax.security.auth.Principal是一个接口,表示带有不同类型凭证的标识,基本上来说,Principal可以是任意对象。

JAAS的授权机制主要就是围绕着Subject和Principal。关于JAAS比较详细的参考是这里:http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html

几个比较重要的java属性:

java.security.krb5.realm

java.security.krb5.kdc

java.security.krb5.conf

 

 

hadoop的身份认证和授权都是建立在JAAS之上。

hadoop.security.authentication属性有2种值:

simple: Security is disabled。

kerberos: Security is enabled。

org.apache.hadoop.security.UserGroupInformation有一个静态方法:getCurrentUser()。它会返回一个UserGroupInformation类的实例(以下简称UGI)。如果subject为空,或者这个subject中与org.apache.hadoop.security.User对应的Principal为空,那么说明尚未登录过,调用getLoginUser()创建UserGroupInformation的实例。

getLoginUser()的流程:

1.创建LoginContext:

name:如果hadoop.security.authentication等于”kerberos”,那么是“hadoop-user-kerberos”或者“hadoop-keytab-kerberos”,否则是“hadoop-simple”。它的主要作用是作为appName传递给UserGroupInformation.HadoopConfiguration.getAppConfigurationEntry(String appName)方法。

subject:

callbackHandler: 空

Configuration: UserGroupInformation.HadoopConfiguration的实例。

2.login.login();

这个会调用HadoopLoginModule的login()和commit()方法。

HadoopLoginModule的login()方法是一个空函数,只打印了一行调试日志 LOG.debug("hadoop login");

commit()方法负责把Principal添加到Subject中。

此时一个首要问题是username是什么?

在使用了kerberos的情况下,从javax.security.auth.kerberos.KerberosPrincipal的实例获取username。

在未使用kerberos的情况下,优先读取HADOOP_USER_NAME这个系统环境变量,如果不为空,那么拿它作username。否则,读取HADOOP_USER_NAME这个java环境变量。否则,从com.sun.security.auth.NTUserPrincipal或者com.sun.security.auth.UnixPrincipal的实例获取username。

如果以上尝试都失败,那么抛出异常LoginException("Can't find user name")。

最终拿username构造org.apache.hadoop.security.User的实例添加到Subject中。

 

测试登录:

HADOOP_JAAS_DEBUG=true HADOOP_ROOT_LOGGER=DEBUG,console  bin/hadoop  org.apache.hadoop.security.UserGroupInformation

其中,UGI应该是这样的形式:

UGI: host/xx.xx.xx.com@xx.xx.com (auth:KERBEROS)

如果是下面这样,就说明错了

12/03/28 18:44:52 DEBUG security.Groups: Returning fetched groups for 'app_admin' 
Groups: app_admin 
UGI: app_admin (auth:KERBEROS) 
Auth method KERBEROS 
Keytab false

据我观察,目前好像只有hadoop内部的通信可以用keytab。如果想在shell下执行bin/hdfs什么的,还是得手动调用kinit。而且,我不知道hadoop用keytab登录后,把Ticket cache放哪了。好像跟系统默认的不一样。

 

在执行kinit的时候,如果没有root权限,可以用KRB5_CONFIG这个环境变量来指定krb5.conf的位置。这个在kinit的文档中并没有提到,它只提到了KRB5CCNAME和KRBTKFILE。

csr_hema
关注
【异常】NoSuchMethodError: org.apache.hadoop.security.authentication.util.KerberosUtil.hasKerberosKeyTa
本本本添哥
05-09 732
基于SpringBoot+Phoenix去链接Hbase,但是提示了错误。
Hadoop】Simple Authentication
TragicJun的专栏
08-07 6372
最近在写一个MapReduce程序,需要从DB里面读取某些数据,但是公司内所有的DB都是Kerberos方式认证,因而有必要对MapReduce Security机制做一些初步的研究。 JAAS 首先,Hadoop Security是基于JAAS(Java Authentication and Authorization Service)实现的,这是JDK标准的一个框架,可plug各种类型的L
Hadoop 3.3.2 HDFS Simple认证Standby同步格式化信息失败 Authentication required
sinat_27418407的博客
03-17 3036
文章目录背景认证配置方式解决方式修改源码回退版本Nginx HTTP代理Kerberos认证 背景 参考文档配置Hadoop HTTP Authentication Simple认证,在2.7.7版本工作正常,升级到3.3.2版本后出现以下异常。 ... 2021-02-25 21:18:52,356 ERROR [main] org.apache.hadoop.hdfs.server.namenode.NameNode: Failed to start namenode. java.io.IOExcept
Kerberos authentication
hacker_zhb的博客
05-19 723
转自:http://www.sunchangming.com/blog/?p=4137   JAAS是Java 认证和授权服务(Java Authentication and Authorization Service)的缩写,是PAM框架的Java实现。 javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。 ...
Hadoop Security Authentication Terminology --Kerberos
星.云计算
07-19 355
Hadoop Security Authentication Terminology --Kerberos What is kinit? Kinit - obtain and cache Kerberos ticket-grantingticket If you use the kinit commandto get your tickets, make sure you use the kd...
Kerberos Authentication
regionyu的专栏
12-30 1033
Kerberos是MIT开发的一种双端认证机制, 原意是守护地狱的三头犬.什么叫双端认证呢? 就是不光是服务器要认证用户, 用户也要认证服务器.Kerberos是通过ticket来进行认证的. ticket相当于门票的意思. ticket是有有效期的, 有效期内都可以使用, 不用每次都申请新的.Kerberos认证系统中, 有一个或多个用来生成和检验ticket的认证服务器, 叫KDC. 所有需要认证的服务都有一个principal, 比如我在系统中配了一台ldap服务器, 这个服务器通过Kerberos来
Kerberos认证原理简介
weixin_30352191的博客
10-16 400
1.1 What is Kerberos 1.1.1 简单介绍  Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),这意味着密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。   K...
大数据安全-kerberos技术-hadoop安装包,hadoop版本:hadoop-3.3.4.tar.gz
06-06
Kerberos的工作原理基于密钥分发中心(KDC),它分为两个主要部分:Authentication Server (AS) 和 Ticket Granting Server (TGS)。用户首先向AS请求一个临时的票据授予票据(TGT),然后使用TGT向TGS请求特定服务的...
Kerberos Authentication -- Configure JDBC Clients on All Platforms
weiha666的博客
05-31 567
JDBC客户机上的Kerberos身份验证使用Java身份验证和授权服务(JAAS)获取初始Kerberos凭证。JAAS是一个API框架,它隐藏特定于平台的身份验证细节,并为其他应用程序提供一致的接口。 您可以通过JAAS登录配置文件指定客户机登录过程。这个文件包含指定Kerberos的身份验证方法和其他设置的选项。一个名为LoginModule的类在配置文件中定义了有效的选项。 JDBC客户端principal 被设计为JDBC -username@server-from-connection-stri
HADOOP 安全体系-Authentication 1
lordk911的博客
04-18 2109
Authentication 验明身份的合法性,hadoop里需要验证加入集群的节点是合法的。要求链接的用户是合法的。 MIT Kerberos MIT Kerberos 是一种中心化的认证工具,hadoop的认证体系默认采用 kerberos,简称 krb5 krb5 分为服务端与客户端,通过 Relam 组成网络krb5 理解为一个数据库,里面的对象是 principal principa
Kerberos 身份验证
GitHub质检员
11-17 440
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
Active Directory 02 - Windows Kerberos Authentication(Kerberos 协议鉴权)
0pr
02-11 1023
这篇文章使用图例详细讲解了Kerberos整个鉴权过程。这篇文章之后,近期的计划就是承接这篇文章的内容,写一下 Active Directory Delegation(主要关于 protocol transition 的效用),再写一下 Bronze Bit Attack 的原理和利用。然后,我会尝试写一些关于Active Directory证书鉴权的文章,最后当然是如何利用配置不当的证书做提权和后渗透维持。 读完这篇文章,如果大家对 Kerberos 的鉴权过程还有不清楚的地方,那么,就请多看几遍吧:D
Hadoop安全认证
loser与你
08-26 1525
Hadoop安全认证  Hadoop中采用了SASL(Simple Authentication and Security Layer,简单层和安全层)进行安全认证,具体方法涉及DIGEST-MD5和Kerberos两种。 1.SASL  SASL是一种用来扩充C/S模式验证能力的认证机制,核心思想是把用户认证和安全传输从应用程序中隔离出来。  SASL支持多种认证方法,主要包括以下几种:  (1)ANONYMOUS:无须认证  (2)PLAIN:最简单但危险的机制,信息采用明文密码方式传输  (3)DIG
Kerberos认证原理(原创图解+详解)
Ciyaso的博客
10-26 8452
一、 Kerberos Authentication Kerberos Authentication 解决的是“如何证明某个用户确确实实就是其所声称的那个用户”的问题。 Kerberos Authentication的整个过程涉及到Client和Server,他们之间传递证明需要使用一个Key(KServer-Client)来表示。Client为了让Server对自己进行有效的认证,向对方提供如下两组信息: ①代表Client自身Identity的信息,为了简便,它以明文的形式传递。 ②将Client的Id
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2642
数据安全防护及Kerberos简介
kerberos 认证原理
yang灬仔
02-02 425
这篇文章,尽量以由浅入深、层层深入的方式讲述我所理解的基于Kerberos的Windows Network Authentication,希望这篇文章能帮助那些对Kerberos不明就里的人带来一丝帮助。对于一些不对的地方,欢迎大家批评指正。 一、基本原理 Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A...
大数据安全之 authentication - Kerberos 的安装和配置
明哥的IT随笔
12-24 617
明哥前段时间跟大家分享了下 《大数据安全之hdfs与hive的Authentication与Authorization》,其中提到大数据生态圈的各个组件,在authenticaton身份认...
【大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 1945
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
Hadoop Web 控制台安全认证——使用用户名 + 密码登陆设置方法 (Hadoop HTTP web-控制台认证 )
热门推荐
lt5227的博客
08-06 1万+
Hadoop HTTP WEB-控制台认证 我们安装完hadoop后,默认情况下我们访问UI界面是没有任何安全验证的。现在我想要的是对Hadoop的Web控制台界面加入一些安全机制,最好是能设置用户名和密码,通过用户名密码的方式来访问我们的Hadoop Web控制台。在做之前,我首先想看看官方有没有类似的这样的功能。下面的文档是官方的 《Hadoop HTTP web-控制台认证》 的说明文档: https://hadoop.apache.org/docs/stable/hadoop-project-dis
Authentication for Hadoop
最新发布
02-27
<name>hadoop.security.authentication <value>simple ``` 这种情况下,任何尝试使用`--secure`参数的操作都将终止并返回错误[^1]。 #### 身份验证配置文件的位置及其修改 对于希望增强Hadoop安全性的情况,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值