Kerberos authentication

最新推荐文章于 2023-07-23 08:28:43 发布
最新推荐文章于 2023-07-23 08:28:43 发布
阅读量661 收藏
点赞数
分类专栏: hadoop 文章标签: 大数据 java shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacker_zhb/article/details/84220494
版权

转自:http://www.sunchangming.com/blog/?p=4137

 

JAAS是Java 认证和授权服务(Java Authentication and Authorization Service)的缩写,是PAM框架的Java实现。

javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。

javax.security.auth.Principal是一个接口,表示带有不同类型凭证的标识,基本上来说,Principal可以是任意对象。

JAAS的授权机制主要就是围绕着Subject和Principal。关于JAAS比较详细的参考是这里:http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html

几个比较重要的java属性:

java.security.krb5.realm

java.security.krb5.kdc

java.security.krb5.conf

 

 

hadoop的身份认证和授权都是建立在JAAS之上。

hadoop.security.authentication属性有2种值:

simple: Security is disabled。

kerberos: Security is enabled。

org.apache.hadoop.security.UserGroupInformation有一个静态方法:getCurrentUser()。它会返回一个UserGroupInformation类的实例(以下简称UGI)。如果subject为空,或者这个subject中与org.apache.hadoop.security.User对应的Principal为空,那么说明尚未登录过,调用getLoginUser()创建UserGroupInformation的实例。

getLoginUser()的流程:

1.创建LoginContext:

name:如果hadoop.security.authentication等于”kerberos”,那么是“hadoop-user-kerberos”或者“hadoop-keytab-kerberos”,否则是“hadoop-simple”。它的主要作用是作为appName传递给UserGroupInformation.HadoopConfiguration.getAppConfigurationEntry(String appName)方法。

subject:

callbackHandler: 空

Configuration: UserGroupInformation.HadoopConfiguration的实例。

2.login.login();

这个会调用HadoopLoginModule的login()和commit()方法。

HadoopLoginModule的login()方法是一个空函数,只打印了一行调试日志 LOG.debug("hadoop login");

commit()方法负责把Principal添加到Subject中。

此时一个首要问题是username是什么?

在使用了kerberos的情况下,从javax.security.auth.kerberos.KerberosPrincipal的实例获取username。

在未使用kerberos的情况下,优先读取HADOOP_USER_NAME这个系统环境变量,如果不为空,那么拿它作username。否则,读取HADOOP_USER_NAME这个java环境变量。否则,从com.sun.security.auth.NTUserPrincipal或者com.sun.security.auth.UnixPrincipal的实例获取username。

如果以上尝试都失败,那么抛出异常LoginException("Can’t find user name")。

最终拿username构造org.apache.hadoop.security.User的实例添加到Subject中。

 

测试登录:

HADOOP_JAAS_DEBUG=true HADOOP_ROOT_LOGGER=DEBUG,console  bin/hadoop  org.apache.hadoop.security.UserGroupInformation

其中,UGI应该是这样的形式:

UGI: host/xx.xx.xx.com@xx.xx.com (auth:KERBEROS)

如果是下面这样,就说明错了

12/03/28 18:44:52 DEBUG security.Groups: Returning fetched groups for ‘app_admin’ 
Groups: app_admin 
UGI: app_admin (auth:KERBEROS) 
Auth method KERBEROS 
Keytab false

据我观察,目前好像只有hadoop内部的通信可以用keytab。如果想在shell下执行bin/hdfs什么的,还是得手动调用kinit。而且,我不知道hadoop用keytab登录后,把Ticket cache放哪了。好像跟系统默认的不一样。

 

在执行kinit的时候,如果没有root权限,可以用KRB5_CONFIG这个环境变量来指定krb5.conf的位置。这个在kinit的文档中并没有提到,它只提到了KRB5CCNAME和KRBTKFILE。

hacker_zhb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop(二)---Hadoop集群的安全设置
狮锅艺
12-30 8169
配置hadoop的安全模式
kerberos认证
weixin_42609714的博客
02-08 2331
Key Distribution Center(KDC):也就是密钥分发中心 参考:http://www.h3c.com/cn/d_201309/922101_30005_0.htm 1阶段 第一步客户端需要向KDC 申请的是一个短期的会话密钥A(短期密钥适合加密那些需要在网络上传输的数据),用于Client和Server之间的信息加密; 客户端发送包括自己的信息以及希望访问的Server的信息; 第二步,KDC接收到这个请求的时候,生成一个会话密钥A,为了保证这个密钥仅限于发送请求的Client和他希望
10.4 hadoop安全性kerberos安全验证和委托令牌
baochunlei1的博客
03-01 1001
1.1 安全性 HDFS的文件许可模块可以组织程序漏洞而毁坏文件系统,也能阻止运行hadoop fs –rmr删除文件指令,但是无法组织恶意的用户假冒root身份来访问或者删除数据。需要使用Kerberos实现用户认证。 1.1.1 Kerberos和Hadoop (1)客户端请求认证的步骤 1) 认证。客户端向认证服务器获取含时间票据授权票据(T...
HDFS的安全身份验证
最新发布
互联网知识分享
07-23 1016
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
Hadoop安全认证(2)
行人事,知天命
08-02 9785
凭证过期处理策略 在最早的 Security features for Hadoop 设计中提出这样的假设: A Hadoop job will run no longer than 7 days (configurable) on a MapReduce cluster or accessing HDFS from the job will fail.
【Hadoop】Hadoop认证代码分析
小哲的博客
11-26 1009
Hadoop认证代码分析 Hadoop作为分布式系统,服务分布于多台服务器之间,提供多用户的访问机制,却有着极其简单的认证实现逻辑。 JAAS(Java Authentication Authorization Service)完整的提供了一个认证鉴权的框架,在Hadoop这个看似庞大的架构当中,借助这一体系,在一个单独的Java类中,实现了认证的绝大部分逻辑。 本文主要讲述Hadoop中的认证实...
Kerberos认证协议
u011079143的博客
05-14 3493
安全协议:Kerberos认证协议 一、简介 Kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证。设计者的设计初衷是要用Kerberos的三个头来守卫网络之门。三个头分别包括:认证、账目清算和审计。 Kerberos要解决的问题 在一个开放的分布式网络环境中,用户通过工作站访问服务器提供的服务,存在许多问题: 工作站上的用户可以冒充另一个用户操作 用户可以...
Simple Kerberos Authentication for Java-开源
05-07
本项目“Simple Kerberos Authentication for Java”是针对Java开发的一个开源实现,专注于简化Kerberos v5的身份验证流程。 Kerberos v5是一种基于票证的认证协议,其核心思想是通过第三方可信认证中心(Kerberos...
Squid Kerberos Authentication Helper-开源
04-24
这是一个帮助程序,用于鱿鱼使用协商身份验证标签执行基于Kerberos的用户身份验证的帮助程序。 已通过IE7和Firefox测试
Kerberos-Authentication-Protocol-master.zip_Kerberos
09-24
Kerberos认证协议详解——基础篇》 Kerberos是一种强大的网络认证协议,它为用户提供了一种安全的身份验证方式,确保在网络通信中只有合法的用户可以访问资源。本篇文章将深入探讨Kerberos的基本原理、工作流程...
Hadoop 2.6.5 API CHM帮助手册
11-24
根据Hadoop 2.6.5 官方API HTML文档转换成的CHM帮助手册
Kerberos协议理解
05-05
* AS(Authentication Service):负责生成TGT(Ticket-Granting Ticket)的服务。 * TGS(Ticket Granting Service):负责生成服务_ticket的服务。 * AD(Account Database):存储所有客户端的白名单,用于验证...
kerberos入坑指南
12-01
Kerberos的核心组件是Key Distribution Center (KDC),它由Authentication Server (AS)和Ticket Granting Server (TGS)组成。AS负责初次认证,当用户请求认证时,它会返回一个Ticket Granting Ticket (TGT)。TGT是用...
Kerberos认证原理(原创图解+详解)
Ciyaso的博客
10-26 7608
一、 Kerberos Authentication Kerberos Authentication 解决的是“如何证明某个用户确确实实就是其所声称的那个用户”的问题。 Kerberos Authentication的整个过程涉及到Client和Server,他们之间传递证明需要使用一个Key(KServer-Client)来表示。Client为了让Server对自己进行有效的认证,向对方提供如下两组信息: ①代表Client自身Identity的信息,为了简便,它以明文的形式传递。 ②将Client的Id
Hadoop集群的webUI监控界面设置Simple安全机制
lukabruce的博客
06-10 2856
业务需求: Hadoop集群配置完成,web监控界面的50070和50030端口不需用户验证即可访问,对生产环境是不容许的,需要加上安全机制。 1、修改core-site.xml,增加如下内容,配置完成后拷贝到其他节点上。 <property> <name>hadoop.http.filter.initializers</name> <v...
Kerberos认证原理简介
weixin_30352191的博客
10-16 344
1.1 What is Kerberos 1.1.1 简单介绍  Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),这意味着密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。   K...
大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 1608
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
大数据安全之 authentication - Kerberos 的安装和配置
明哥的IT随笔
12-24 523
明哥前段时间跟大家分享了下 《大数据安全之hdfs与hive的Authentication与Authorization》,其中提到大数据生态圈的各个组件,在authenticaton身份认...
Hadoop Job失败解决
hacker_zhb的博客
06-27 721
现象:map 某个task始终实行失败,直到超时,attemp task重试四次,最后task失败 查看jobtracker发现每次都是固定的task,找到该task所在节点,查看log,搜索该taskid 如:   cat hadoop-hadoop-tasktracker-DB1221.log.2012-06-26 | grep attempt_201206081842_0456_m_...
GSSAPI实现Kerberos代理
06-13
GSSAPI可以用于实现Kerberos代理,通过代理服务器协助客户端完成Kerberos认证。下面是一个简单的GSSAPI实现Kerberos代理的示例: ```java public class KerberosProxy { public static void main(String[] args) throws Exception { // 创建ServerSocket并监听端口 ServerSocket serverSocket = new ServerSocket(8888); System.out.println("Kerberos Proxy started, listening on port 8888..."); // 循环等待客户端连接 while (true) { Socket clientSocket = serverSocket.accept(); System.out.println("Accepted connection from client: " + clientSocket.getInetAddress()); // 创建Kerberos上下文 String serviceName = "HTTP/example.com"; GSSManager manager = GSSManager.getInstance(); GSSName serverName = manager.createName(serviceName, null); GSSContext context = manager.createContext(serverName, null, null, GSSContext.DEFAULT_LIFETIME); // 循环处理客户端请求 byte[] token = new byte[0]; while (!context.isEstablished()) { // 接收客户端请求并转发给服务端 InputStream inputStream = clientSocket.getInputStream(); ByteArrayOutputStream outputStream = new ByteArrayOutputStream(); byte[] buffer = new byte[4096]; int len; while ((len = inputStream.read(buffer)) > 0) { outputStream.write(buffer, 0, len); } byte[] request = outputStream.toByteArray(); outputStream.close(); token = context.initSecContext(request, 0, request.length); if (token != null && token.length > 0) { // 将服务端响应转发给客户端 OutputStream outputStream1 = clientSocket.getOutputStream(); outputStream1.write(token); outputStream1.flush(); } } // 认证成功,获取客户端Subject,并将认证结果发送给客户端 Subject clientSubject = new Subject(); Set<GSSCredential> creds = clientSubject.getPrivateCredentials(GSSCredential.class); GSSCredential credential = creds.iterator().next(); System.out.println("Kerberos authentication successful. Client principal: " + credential.getName()); clientSocket.getOutputStream().write("Kerberos authentication successful.".getBytes()); clientSocket.getOutputStream().flush(); clientSocket.close(); } } } ``` 在上述示例中,我们创建了一个ServerSocket并监听端口,循环等待客户端连接。当客户端连接时,我们创建了一个Kerberos上下文,并循环处理客户端请求。在处理客户端请求时,我们将请求转发给服务端,并将服务端响应转发给客户端。当Kerberos认证成功后,我们获取了客户端Subject,并将认证结果发送给客户端。 需要注意的是,上述示例仅用于演示如何使用GSSAPI实现Kerberos代理,并且还需要进行一些额外的配置,例如指定krb5配置文件等。具体配置和使用方法可以参考Java官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值