Hadoop Authentication

最新推荐文章于 2023-11-17 09:09:18 发布
最新推荐文章于 2023-11-17 09:09:18 发布
阅读量2k 收藏
点赞数

JAAS是Java 认证和授权服务(Java Authentication and Authorization Service)的缩写,是PAM框架的Java实现。

javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。

javax.security.auth.Principal是一个接口,表示带有不同类型凭证的标识,基本上来说,Principal可以是任意对象。

JAAS的授权机制主要就是围绕着Subject和Principal。关于JAAS比较详细的参考是这里:http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html

几个比较重要的java属性:

java.security.krb5.realm

java.security.krb5.kdc

java.security.krb5.conf

 

 

hadoop的身份认证和授权都是建立在JAAS之上。

hadoop.security.authentication属性有2种值:

simple: Security is disabled。

kerberos: Security is enabled。

org.apache.hadoop.security.UserGroupInformation有一个静态方法:getCurrentUser()。它会返回一个UserGroupInformation类的实例(以下简称UGI)。如果subject为空,或者这个subject中与org.apache.hadoop.security.User对应的Principal为空,那么说明尚未登录过,调用getLoginUser()创建UserGroupInformation的实例。

getLoginUser()的流程:

1.创建LoginContext:

name:如果hadoop.security.authentication等于”kerberos”,那么是“hadoop-user-kerberos”或者“hadoop-keytab-kerberos”,否则是“hadoop-simple”。它的主要作用是作为appName传递给UserGroupInformation.HadoopConfiguration.getAppConfigurationEntry(String appName)方法。

subject:

callbackHandler: 空

Configuration: UserGroupInformation.HadoopConfiguration的实例。

2.login.login();

这个会调用HadoopLoginModule的login()和commit()方法。

HadoopLoginModule的login()方法是一个空函数,只打印了一行调试日志 LOG.debug("hadoop login");

commit()方法负责把Principal添加到Subject中。

此时一个首要问题是username是什么?

在使用了kerberos的情况下,从javax.security.auth.kerberos.KerberosPrincipal的实例获取username。

在未使用kerberos的情况下,优先读取HADOOP_USER_NAME这个系统环境变量,如果不为空,那么拿它作username。否则,读取HADOOP_USER_NAME这个java环境变量。否则,从com.sun.security.auth.NTUserPrincipal或者com.sun.security.auth.UnixPrincipal的实例获取username。

如果以上尝试都失败,那么抛出异常LoginException("Can't find user name")。

最终拿username构造org.apache.hadoop.security.User的实例添加到Subject中。

 

测试登录:

HADOOP_JAAS_DEBUG=true HADOOP_ROOT_LOGGER=DEBUG,console  bin/hadoop  org.apache.hadoop.security.UserGroupInformation

其中,UGI应该是这样的形式:

UGI: host/xx.xx.xx.com@xx.xx.com (auth:KERBEROS)

如果是下面这样,就说明错了

12/03/28 18:44:52 DEBUG security.Groups: Returning fetched groups for 'app_admin' 
Groups: app_admin 
UGI: app_admin (auth:KERBEROS) 
Auth method KERBEROS 
Keytab false

据我观察,目前好像只有hadoop内部的通信可以用keytab。如果想在shell下执行bin/hdfs什么的,还是得手动调用kinit。而且,我不知道hadoop用keytab登录后,把Ticket cache放哪了。好像跟系统默认的不一样。

 

在执行kinit的时候,如果没有root权限,可以用KRB5_CONFIG这个环境变量来指定krb5.conf的位置。这个在kinit的文档中并没有提到,它只提到了KRB5CCNAME和KRBTKFILE。

csr_hema
关注
【异常】NoSuchMethodError: org.apache.hadoop.security.authentication.util.KerberosUtil.hasKerberosKeyTa
本本本添哥
05-09 732
基于SpringBoot+Phoenix去链接Hbase,但是提示了错误。
Hadoop】Simple Authentication
TragicJun的专栏
08-07 6372
最近在写一个MapReduce程序,需要从DB里面读取某些数据,但是公司内所有的DB都是Kerberos方式认证,因而有必要对MapReduce Security机制做一些初步的研究。 JAAS 首先,Hadoop Security是基于JAAS(Java Authentication and Authorization Service)实现的,这是JDK标准的一个框架,可plug各种类型的L
Hadoop 3.3.2 HDFS Simple认证Standby同步格式化信息失败 Authentication required
sinat_27418407的博客
03-17 3036
文章目录背景认证配置方式解决方式修改源码回退版本Nginx HTTP代理Kerberos认证 背景 参考文档配置Hadoop HTTP Authentication Simple认证,在2.7.7版本工作正常,升级到3.3.2版本后出现以下异常。 ... 2021-02-25 21:18:52,356 ERROR [main] org.apache.hadoop.hdfs.server.namenode.NameNode: Failed to start namenode. java.io.IOExcept
Kerberos authentication
hacker_zhb的博客
05-19 723
转自:http://www.sunchangming.com/blog/?p=4137   JAAS是Java 认证和授权服务(Java Authentication and Authorization Service)的缩写,是PAM框架的Java实现。 javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。 ...
Hadoop Security Authentication Terminology --Kerberos
星.云计算
07-19 355
Hadoop Security Authentication Terminology --Kerberos What is kinit? Kinit - obtain and cache Kerberos ticket-grantingticket If you use the kinit commandto get your tickets, make sure you use the kd...
Kerberos Authentication
regionyu的专栏
12-30 1033
Kerberos是MIT开发的一种双端认证机制, 原意是守护地狱的三头犬.什么叫双端认证呢? 就是不光是服务器要认证用户, 用户也要认证服务器.Kerberos是通过ticket来进行认证的. ticket相当于门票的意思. ticket是有有效期的, 有效期内都可以使用, 不用每次都申请新的.Kerberos认证系统中, 有一个或多个用来生成和检验ticket的认证服务器, 叫KDC. 所有需要认证的服务都有一个principal, 比如我在系统中配了一台ldap服务器, 这个服务器通过Kerberos来
Kerberos认证原理简介
weixin_30352191的博客
10-16 402
1.1 What is Kerberos 1.1.1 简单介绍  Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),这意味着密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。   K...
大数据安全-kerberos技术-hadoop安装包,hadoop版本:hadoop-3.3.4.tar.gz
06-06
Kerberos的工作原理基于密钥分发中心(KDC),它分为两个主要部分:Authentication Server (AS) 和 Ticket Granting Server (TGS)。用户首先向AS请求一个临时的票据授予票据(TGT),然后使用TGT向TGS请求特定服务的...
Kerberos Authentication -- Configure JDBC Clients on All Platforms
weiha666的博客
05-31 567
JDBC客户机上的Kerberos身份验证使用Java身份验证和授权服务(JAAS)获取初始Kerberos凭证。JAAS是一个API框架,它隐藏特定于平台的身份验证细节,并为其他应用程序提供一致的接口。 您可以通过JAAS登录配置文件指定客户机登录过程。这个文件包含指定Kerberos的身份验证方法和其他设置的选项。一个名为LoginModule的类在配置文件中定义了有效的选项。 JDBC客户端principal 被设计为JDBC -username@server-from-connection-stri
HADOOP 安全体系-Authentication 1
lordk911的博客
04-18 2108
Authentication 验明身份的合法性,hadoop里需要验证加入集群的节点是合法的。要求链接的用户是合法的。 MIT Kerberos MIT Kerberos 是一种中心化的认证工具,hadoop的认证体系默认采用 kerberos,简称 krb5 krb5 分为服务端与客户端,通过 Relam 组成网络krb5 理解为一个数据库,里面的对象是 principal principa
Kerberos 身份验证
GitHub质检员
11-17 440
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
Active Directory 02 - Windows Kerberos Authentication(Kerberos 协议鉴权)
0pr
02-11 1025
这篇文章使用图例详细讲解了Kerberos整个鉴权过程。这篇文章之后,近期的计划就是承接这篇文章的内容,写一下 Active Directory Delegation(主要关于 protocol transition 的效用),再写一下 Bronze Bit Attack 的原理和利用。然后,我会尝试写一些关于Active Directory证书鉴权的文章,最后当然是如何利用配置不当的证书做提权和后渗透维持。 读完这篇文章,如果大家对 Kerberos 的鉴权过程还有不清楚的地方,那么,就请多看几遍吧:D
Hadoop安全认证
loser与你
08-26 1525
Hadoop安全认证  Hadoop中采用了SASL(Simple Authentication and Security Layer,简单层和安全层)进行安全认证,具体方法涉及DIGEST-MD5和Kerberos两种。 1.SASL  SASL是一种用来扩充C/S模式验证能力的认证机制,核心思想是把用户认证和安全传输从应用程序中隔离出来。  SASL支持多种认证方法,主要包括以下几种:  (1)ANONYMOUS:无须认证  (2)PLAIN:最简单但危险的机制,信息采用明文密码方式传输  (3)DIG
Kerberos认证原理(原创图解+详解)
Ciyaso的博客
10-26 8465
一、 Kerberos Authentication Kerberos Authentication 解决的是“如何证明某个用户确确实实就是其所声称的那个用户”的问题。 Kerberos Authentication的整个过程涉及到Client和Server,他们之间传递证明需要使用一个Key(KServer-Client)来表示。Client为了让Server对自己进行有效的认证,向对方提供如下两组信息: ①代表Client自身Identity的信息,为了简便,它以明文的形式传递。 ②将Client的Id
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2642
数据安全防护及Kerberos简介
kerberos 认证原理
yang灬仔
02-02 425
这篇文章,尽量以由浅入深、层层深入的方式讲述我所理解的基于Kerberos的Windows Network Authentication,希望这篇文章能帮助那些对Kerberos不明就里的人带来一丝帮助。对于一些不对的地方,欢迎大家批评指正。 一、基本原理 Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A...
大数据安全之 authentication - Kerberos 的安装和配置
明哥的IT随笔
12-24 617
明哥前段时间跟大家分享了下 《大数据安全之hdfs与hive的Authentication与Authorization》,其中提到大数据生态圈的各个组件,在authenticaton身份认...
【大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 1948
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
Hadoop Web 控制台安全认证——使用用户名 + 密码登陆设置方法 (Hadoop HTTP web-控制台认证 )
热门推荐
lt5227的博客
08-06 1万+
Hadoop HTTP WEB-控制台认证 我们安装完hadoop后,默认情况下我们访问UI界面是没有任何安全验证的。现在我想要的是对Hadoop的Web控制台界面加入一些安全机制,最好是能设置用户名和密码,通过用户名密码的方式来访问我们的Hadoop Web控制台。在做之前,我首先想看看官方有没有类似的这样的功能。下面的文档是官方的 《Hadoop HTTP web-控制台认证》 的说明文档: https://hadoop.apache.org/docs/stable/hadoop-project-dis
Authentication for Hadoop
最新发布
02-27
### Hadoop身份验证机制与配置 #### 安全集群的要求 当命令未在一个安全的集群上执行时,`--secure`选项会使得操作失败。这意味着如果集群的安全认证方式被显式或隐式设置为简单模式,则该条件成立: ```xml <property> <name>hadoop.security.authentication</name> <value>simple</value> </property> ``` 这种情况下,任何尝试使用`--secure`参数的操作都将终止并返回错误[^1]。 #### 身份验证配置文件的位置及其修改 对于希望增强Hadoop安全性的情况,可以考虑重新打包`hadoop-auth`库,并将其放置于`${HADOOP_HOME}/share/hadoop/common/lib`目录下以替代原有的版本[^2]。此过程允许管理员应用自定义的身份验证逻辑或是修复已知漏洞。 #### 委托令牌的工作原理 在Hadoop框架内,为了支持长时间运行的应用程序和服务间通信,引入了基于HMAC算法生成和校验的委托令牌(Delegation Token)。这些令牌包含了两个主要组成部分——公开信息与私密数据;其中前者用于索引后者,在服务端通过散列表形式保存下来以便快速查找匹配项[^3]。 #### 用户认证模型概述 Kerberos架构提供了强大的网络环境下的单点登录解决方案,适用于分布式计算平台如Apache Hadoop。它不仅能够有效管理用户凭证而且还能确保跨域资源访问控制的有效实施。图1展示了典型的Kerberos体系结构如何实现用户鉴权流程[^4]。 ```mermaid graph LR; A[User] --> B(KDC); B --> C[Ticket Granting Server]; C --> D(Resource Server); D --> E(Application Service); style A fill:#f96,stroke:#333,stroke-width:4px style B fill:#bbf,stroke:#000,stroke-width:4px style C fill:#bdf,stroke:#000,stroke-width:4px style D fill:#8bf,stroke:#000,stroke-width:4px style E fill:#8ff,stroke:#000,stroke-width:4px ``` 上述图表描绘了一个典型的企业级环境中各组件之间的交互关系,包括但不限于客户端、密钥分发中心(Key Distribution Center)、票据授予服务器以及最终的目标应用程序服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值