hbase kerberos

最新推荐文章于 2024-05-08 02:31:03 发布
最新推荐文章于 2024-05-08 02:31:03 发布
阅读量1k 收藏 1
点赞数
分类专栏: 大数据 文章标签: hbase big data zookeeper
原文链接:https://www.pianshen.com/article/2303409528/
版权

原文链接:HBase ThriftServer Kerberos认证 - 程序员大本营

1.前置

用户可以通过ThriftServer来访问HBase服务,它的特点如下:

  • ThriftServer代理用户访问HBase服务返回操作结果,用户客户端不需要直接跟HBase进行通信
  • 用户可以使用java/python/php/c++等语言的Thrift客户端代码访问HBase服务(HBase本身客户端只支持java语言)

2. Kerberos下的ThriftServer使用

如果HBase集群开启了Kerberos认证(E-MapReduce可一键创建安全集群,非常方便),那么用户怎么通过ThriftServer访问HBase服务呢?

2.1 ThriftServer配置Kerberos

ThriftServer其实是HBase服务的客户端,既然HBase开启了Kerberos认证,那么ThrifServer也必须配置Kerberos的信息才能正常访问HBase集群服务。

在ThriftServer的hbase-site.xml文件中添加新配置:

 

  1.  
    <property>
     
  2.  
    <name>hbase.security.authentication</name>
     
  3.  
    <value>kerberos</value>
     
  4.  
    </property>
     
  5.  
    <property>
     
  6.  
    <name>hbase.thrift.kerberos.principal</name>
     
  7.  
    <value>hbase/_HOST@EMR.123456.COM</value>
     
  8.  
    </property>
     
  9.  
    <property>
     
  10.  
    <name>hbase.thrift.keytab.file</name>
     
  11.  
    <value>/etc/ecm/hbase-conf/hbase-thrift.keytab</value>
     
  12.  
    </property>
     
 

上述配置中实际值以用户为准(principle和keytab需对应)。
 

2.2 ThriftClient访问ThriftServer
 

用户使用python/java/php等Thrift客户端访问ThrifServer有两种方式:
 

2.2.1 ThriftServer不对Client进行身份认证
 

任何用户都可以通过ThriftServer访问HBase服务,而且都是以ThriftServer本身配置的hbase.thrift.kerberos.principal中的用户名去访问HBase服务,即对HBase服务来说只有一个固定的用户来访问。
 

如下图所示:
 

这种方式使得HBase集群的Kerberos认证无效,不适合使用开启了Kerberos的场景。
 

2.2.2 ThriftServer对Client进行身份认证
 

ThriftServer可以开启对Client进行身份认证,而且以实际的用户身份访问HBase服务。
 

 

需要做如下配置:
 

  • ThriftServer的hbase-site.xml中增加新的配置:
 

 

  1.  
    <property>
     
  2.  
    <name>hbase.thrift.security.qop</name>
     
  3.  
    <value>auth</value>
     
  4.  
    </property>
     
 

其中hbase.thrift.security.qop可以是auth/auth-init/auth-conf中的一个
 

  • HBase集群的所有节点core-site.xml中增加新的配置:
 

 

  1.  
    <property>
     
  2.  
    <name>hadoop.proxyuser.$user.hosts</name>
     
  3.  
    <value>*</value>
     
  4.  
    </property>
     
  5.  
    <property>
     
  6.  
    <name>hadoop.proxyuser.$user.groups</name>
     
  7.  
    <value>*</value>
     
  8.  
    </property>
     
 

备注:
 a) $user为ThriftServer本身配置的hbase.thrift.kerberos.principal中的用户
 b) 重启HBase集群(无需重启HDFS)
 

3. 代码示例
 

上述2.2.2节的场景代码
 

3.1 python
 

参考github上一个项目: 
GitHub - joshelser/hbase-thrift1-python-sasl: Python client code for Apache HBase 1.x using Kerberos authentication over SASL
 

使用方式在README.md中:
 

 

  1.  
    -> 在客户端运行的账号下kinit初始化好Kerberos的TGT
     
  2.  
    -> ./setup.sh
     
  3.  
    -> python get_row.py
     
 

备注: get_row.py需要根据实际集群的配置修改相关参数
 

3.2 java
 

HBase官方的example jar有示例代码:
hbase/hbase-examples at master · apache/hbase · GitHub
 

hbase/DemoClient.java at master · apache/hbase · GitHub
 

 

  1.  
    -> 在客户端运行的账号下kinit初始化好Kerberos的TGT
     
  2.  
    ->
     
  3.  
    export HBASE_EXAMPLE_CLASSPATH=`hbase classpath`;
     
  5.  
    java -cp /usr/lib/hbase-current/lib/hbase-examples-1.1.1.jar:$HBASE_EXAMPLE_CLASSPATH org.apache.hadoop.hbase.thrift.DemoClient $thrift_server_host $thrift_serve_port true
     
 

有兴趣或者有需求的用户可以关注一下E-MapReduce的安全相关的功能,有问题及时联系和反馈。
 


                

        

        

    




    

      

        

            

              
                
                  leveretz
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
hbase1.2配置(带kerberos认证)

				
			

			

				

					manweizhizhuxia的博客
				

				

					08-09
					
					1321
					
				

			

		

		

			
				
hbase配置

			
		

	



                

              
                



	

		

			

				
					
hbasekerberos 后报错hbase master 起不来

				
			

			

				

					jzy3711的博客
				

				

					10-01
					
					1122
					
				

			

		

		

			
				
1.需要手动重新创建keytab文件2.注意keytab文件权限问题。

			
		

	



                


  
              

                


	

		

			

				
					
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase

					
最新发布

				
			

			

				

					2401_84297193的博客
				

				

					05-08
					
					780
					
				

			

		

		

			
				
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!

			
		

	





	

		

			

				
					
CDH集群与Kerberos集成手册

				
			

			

				

					qq_45360515的博客
				

				

					10-18
					
					2193
					
				

			

		

		

			
				
kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),kerberos基于私钥体制(对称密码体制)。Kerberos称为可信的第三方验证协议,意味着它运行在独立于任何客户机或服务器的服务器之上。此名称来自看守地狱入口的三头犬。

			
		

	



		

			
		



	

		

			

				
					
hadoop、hbasezookeeper整合kerberos,搭建安全平台

				
			

			

				

					杂记
				

				

					10-31
					
					6295
					
				

			

		

		

			
				
随着Hadoop等大数据技术的普及,其平台的安全性日益受到企业的重视,特别是对安全性要求较高的通信、金融等领域。而安全性主要包括两个部分:Authentication、Authorization。
本文侧重于Authentication方面,旨在通用整合Kerberos,提升大数据平台的安全性,降低风险。
至于Authorization方面内容,另有篇幅描述。

			
		

	





	

		

			

				
					
python3.6.5基于kerberos认证的hive和hdfs连接调用方式

				
			

			

				

					09-16
				

			

		

		

			
				
在本文中,我们将深入探讨如何使用Python 3.6.5版本通过Kerberos认证来连接Hive和HDFS。Kerberos是一种广泛使用的网络身份验证协议,它为不安全的网络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...

			
		

	





	

		

			

				
					
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos

				
			

			

				

					01-12
				

			

		

		

			
				
【标题】:“安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos”  【描述】:在本文中,我们将探讨如何在两台云主机(实际环境可能需要三台或更多)上安装Hadoop、HBase、Sqoop2、Phoenix以及Kerberos的详细过程,...

			
		

	





	

		

			

				
					
hbase 数据库

				
			

			

				

					07-11
				

			

		

		

			
				
12. **安全配置**:在生产环境中,可能需要配置HBaseKerberos进行集成,以实现身份验证和授权,保障数据安全。  通过以上步骤,你可以在本地或集群环境中成功安装并运行HBase。理解并熟练掌握这些知识点,对于管理...

			
		

	





	

		

			

				
					
hbase2.2安装文件

				
			

			

				

					10-24
				

			

		

		

			
				
7. **安全配置**:在生产环境中,可能需要配置HBase以支持安全性,如Kerberos认证,以保护数据的安全。  在大数据应用中,HBase常常与其他技术结合使用,如Hadoop MapReduce进行批处理分析,Spark用于实时计算,或者...

			
		

	





	

		

			

				
					
python hbase kerberos_在Kerberos环境下Hue与HBase集成

				
			

			

				

					weixin_32719533的博客
				

				

					02-09
					
					288
					
				

			

		

		

			
				
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。Fayson的github:https://github.com/fayson/cdhproject提示:代码块部分可以左右滑动查看噢1.文档编写目的Hue中访问HBase是通过HBase的Thrift Server服务进行访问,在集群启用了Kerberos后,通过Hue访问HBase时不能显示任何表。本篇文...

			
		

	





	

		

			

				
					
hbase配置kerberos

				
			

			

				

					weixin_30477797的博客
				

				

					09-20
					
					660
					
				

			

		

		

			
				
#kerberos配置安装kerberosyum install krb5-libs krb5-server krb5-workstation
vim /etc/krb5.conf[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/...

			
		

	





	

		

			

				
					
Ambari学习笔记-配置Hbase权限(开启Kerberos

				
			

			

				

					snipercai的博客
				

				

					04-28
					
					1763
					
				

			

		

		

			
				
Ambari学习笔记-配置Hbase权限,开启Kerberos

			
		

	





	

		

			

				
					
hbase1.2.1配置kerberos

				
			

			

				

					mm_bit的博客
				

				

					04-29
					
					8342
					
				

			

		

		

			
				
今天需要在hbase上配置kerberos认证,所以需要安装kerberos,安装配置过程如下:


kerberos简介

kerberos简单来说就是一套完全控制机制,它有一个中心服务器(KDC),KDC中有数据库,你可以往里添加各种“人”以及各种“服务”的“身份证”,当某个人要访问某个服务时,他拿着自己的“身份证”联系KDC并告诉KDC他想要访问的服务,KDC经过一系列验证步骤,最

			
		

	





	

		

			

				
					
JAVA安全客户端连接到Hbase

				
			

			

				

					qxxiaohui的专栏
				

				

					03-13
					
					6167
					
				

			

		

		

			
				
通过java API 连接到基于kerberos安全验证的Hbase

			
		

	





	

		

			

				
					
zk  启用kerberoshbase连接不上问题

				
			

			

				

					偶是一只小小鸟~
				

				

					09-27
					
					871
					
				

			

		

		

			
				
背景
当cdh集群启动kerberos认证后. 启动hbase是hmaster 死活起不来. 思考可能是认证问题. 使用getAcl 看hbase节点的权限发现hbase用户并没有可操作的权限. 需要给hbase增加权限. 主要出现
 KeeperErrorCode = NoAuth for /hbase/flush-table-proc/acquired

等错误
流程

为zk增加一个超级用户

https://www.jianshu.com/p/373d52375a65


使用超级用户为hbase

			
		

	





	

		

			

				
					
开启kerberos后,hue管理hbase

				
			

			

				

					hao119119的专栏
				

				

					06-09
					
					4406
					
				

			

		

		

			
				
在部署hue+hbase thrift的过程中,遇到问题很多,主要做以下总结.

1. 代理权限问题:

    代理过程中必须保证hue票据用户和hbase thrift票据用户都具有代理权限.

     如果hue票据用户缺少代理权限, thrift日志会提示如*** can not do as ***

     如果thrift票据用户缺少代理权限, thrift日志会提

			
		

	





	

		

			

				
					
scala hbase kerberos

				
			

			

				

					08-05
				

			

		

		

			
				
在 Scala 中使用 HBaseKerberos 进行身份验证需要进行以下步骤:  1. 配置 Kerberos:首先,确保 HBase 集群已经启用了 Kerberos 身份验证。您需要获取正确的 Kerberos Principal(主体)和 Keytab(密钥表)...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值