背景:
为了防止用户不能随便登录,查看或是修改删除文件,负责用户认证和权限管理就显得格外的重要。
1. 用户认证和权限管理:
平台用户的用户认证一般会采用kerberos,负责数据的权限管理一般采用大数据权限管理框架(sentry或是Ranger)。
1.1 用户认证:
基本认证
Kerberos认证
LDAP认证
SSL客户端认证
基于PAM的认证
Radius认证
1.2 大数据权限管理框架:
sentry:
Sentry首先是由Cloudera公司内部开发而来的,初衷是为了让用户能够细粒度的控制Hadoop系统中的数据(这里主要指HDFS,Hive的数据)。所以Sentry对HDFS,Hive以及同样由Cloudera开发的Impala有着很好的支持性。
Ranger:
Ranger则是由于另一家公司Hortonworks所主导。它同样是做细粒度的权限控制。但相比较于Sentry而言,它能支持更丰富的组件,包括于 HDFS, Hive, HBase, Yarn, Storm, Knox, Kafka, Solr and NiFi。
具体的差别和性能对比参考:https://www.cnblogs.com/bianqi/p/12183567.html
1.3 sentry和Ranger对比:
https://www.wtlizzz.com/Apache-Sentry-vs-Ranger/
1.4 扩展:Nginx限制或允许IP或IP段访问。
总结:
cdp小量用户使用ranger+kerberos,大量用户用ldap+kerberos +ranger。