大数据Hadoop系列之Hadoop Web控制台添加身份验证

最新推荐文章于 2024-05-16 01:36:38 发布
最新推荐文章于 2024-05-16 01:36:38 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392409/article/details/124115134
版权

1. 背景介绍

  • 本文档介绍如何配置Hadoop HTTP Web控制台以要求用户身份验证。
  • 默认情况下,Hadoop HTTP Web控制台(ResourceManager,NameNode,NodeManagers和DataNodes)允许访问而无需任何形式的身份验证。
  • 可以将Hadoop HTTP Web控制台配置为使用HTTP SPNEGO协议(Firefox和Internet Explorer等浏览器支持)进行Kerberos身份验证。
  • 此外,Hadoop HTTP Web控制台支持相当于Hadoop的伪/简单身份验证。如果启用此选项,则必须使用user.name查询字符串参数在第一个浏览器交互中指定用户名。例如:http://localhost:8088/cluster?user.name=hadoop
  • 如果HTTP Web控制台需要自定义身份验证机制,则可以实现插件以支持备用身份验证机制(有关编写AuthenticatorHandler的详细信息,请参阅Hadoop hadoop-auth)。

2. 配置

2.1 属性说明

属性名称

默认值

描述

hadoop.http.filter.initializers

将org.apache.hadoop.security.AuthenticationFilterInitializer初始化类添加到此属性

hadoop.http.authentication.type

simple

定义用于HTTPWeb控制台的身份验证,支持的值是:simple|kerberos

hadoop.http.authentication.token.validity

36000

指示身份验证令牌在必须更新之前有效的时间(以秒为单位)

hadoop.http.authentication.token.max-inactive-interval

-1(disabled)

指定客户端请求之间的时间(以秒为单位),服务器将使令牌失效

hadoop.http.authentication.signature.secret.file

$user.home/hadoop-http-auth-signature-secret

用于签署身份验证令牌的签名密钥文件,集群中的所有节点、ResourceManager、NameNode、DataNode和NodeManager都应该使用相同的密钥,只有运行守护进程的Unix用户才能读取该文件

hadoop.http.authentication.cookie.domain

用于存储身份验证令牌的HTTPCookie的域,要使身份验证在集群中的所有节点上正确工作,必须正确设置域。没有默认值,HTTPCookie将不会有只与发出HTTPCookie的主机名一起工作的域

hadoop.http.authentication.cookie.persistent

false(sessioncookie)

指定HTTPCookie的持久性,如果值为真,则Cookie是持久的。否则,它就是会话Cookie。重要提示:当使用IP地址时,浏览器会忽略带有域设置的Cookie。要使此设置正常工作,集群中的所有节点都必须配置为生成具有主机名的url,上面有域名

hadoop.http.authentication.simple.anonymous.allowed

TRUE

指示在使用“简单”身份验证时是否允许匿名请求

hadoop.http.authentication.kerberos.principal

HTTP/_HOST@$LOCALHOST

指示在使用“Kerberos”身份验证时将Kerberos主体用于HTTP端点。根据KerberosHTTPSPNEGO规范,主体短名称必须是HTTP。如果存在,则用HTTP服务器的绑定地址替换_HOST

hadoop.http.authentication.kerberos.keytab

$user.home/hadoop.keytab

带有用于HTTP端点的Kerberos主体凭证的keytab文件的位置

2.2 配置core-site

创建secret目录,用于存放密钥文件

mkdir -p /opt/apache/hadoop/secret

vim /opt/apache/hadoop/hadoop-2.7.3/etc/hadoop/core-site.xml

<configuration>
	<!-- Authentication for Hadoop HTTP web-consoles -->
	<property>
		<name>hadoop.http.filter.initializers</name>
		<value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>
	</property>
	<property>
		<name>hadoop.http.authentication.type</name>
		<value>simple</value>
	</property>
	<property>
		<name>hadoop.http.authentication.token.validity</name>
		<value>3600</value>
	</property>
	<property>
		<name>hadoop.http.authentication.signature.secret.file</name>
		<value>/opt/apache/hadoop/secret/hadoop-http-auth-signature-secret</value>
	</property>
	<property>
		<name>hadoop.http.authentication.cookie.domain</name>
		<value></value>
	</property>
	<property>
		<name>hadoop.http.authentication.simple.anonymous.allowed</name>
		<value>false</value>
	</property>
</configuration>

2.3 创建密钥文件

cd /opt/apache/hadoop/secret

创建hadoop-http-auth-signature-secret密钥文件,并添加test用户

echo “test” > hadoop-http-auth-signature-secret

2.4 同步修改信息至集群其它节点

scp /opt/apache/hadoop/hadoop-2.7.3/etc/hadoop/core-site.xml host14:/opt/apache/hadoop/hadoop-2.7.3/etc/hadoop/

scp /opt/apache/hadoop/hadoop-2.7.3/etc/hadoop/core-site.xml host15:/opt/apache/hadoop/hadoop-2.7.3/etc/hadoop/

scp -r /opt/apache/hadoop/secret/ host14:/opt/apache/hadoop/

scp -r /opt/apache/hadoop/secret/ host15:/opt/apache/hadoop/

3. 验证

3.1 重启Hadoop集群

stop-dfs.sh

start-dfs.sh

3.2 HDFS WEB UI

默认访问方式(401错误):http://192.168.233.136:50070

通过用户方式访问(正常访问):http://192.168.233.136:50070?user.name=test

m0_67392409
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
hadoop-auth
05-12
该工具包为Hadoop Auth maven依赖包,用于支持hadoop下maven项目开发
hadoop web 端口安全认证
sunyang098的博客
09-21 4750
Hadoop集群配置完成,web监控界面的50070和50030端口不需用户验证即可访问,对生产环境是不容许的,需要加上安全机制。 1、修改core-site.xml,增加如下内容,配置完成后拷贝到其他节点上。         hadoop.http.filter.initializers     org.apache.hadoop.security.AuthenticationFilt
最全Hadoop Web 控制台安全认证_关闭hadoop web管理页面(1),2024年最新大数据开发开发面试技能介绍
最新发布
2401_84166306的博客
05-16 387
Hadoop 2.x 版本,默认情况下,可以通过http://ip地址:50070/explorer.html访问HDFS页面,查看Namenode和Datanode状态,以及HDFS的相关文件等。但是这存在安全隐患,可能导致我们的文件信息的泄露,如果我们在页面里面添加个认证机制,只有验证之后的用户才可以进入页面里操作。
Hadoop Web 控制台安全认证——使用用户名 + 密码登陆设置方法 (Hadoop HTTP web-控制台认证 )
热门推荐
lt5227的博客
08-06 1万+
Hadoop HTTP WEB-控制台认证 我们安装完hadoop后,默认情况下我们访问UI界面是没有任何安全验证的。现在我想要的是对HadoopWeb控制台界面加入一些安全机制,最好是能设置用户名和密码,通过用户名密码的方式来访问我们的Hadoop Web控制台。在做之前,我首先想看看官方有没有类似的这样的功能。下面的文档是官方的 《Hadoop HTTP web-控制台认证》 的说明文档: https://hadoop.apache.org/docs/stable/hadoop-project-dis
Hadoop-2.2.0中文文档——Common-Hadoop HTTP web控制台认证
三分地
05-22 3174
简介 此文档描述了如何配置Hadoop HTTP web控制台,去要求用户认证。 默认地,Hadoop HTTP web控制台(JobTracker, NameNode, TaskTrackers 和 DataNodes)不需要任何认证就允许访问。 与Hadoop RPC相似, Hadoop HTTP web控制台可以被配置为需要使用HTTP SPNEGO协议认证(由FireFo
Hadoop参数汇总
qq_36864672的博客
03-01 789
默认实现是 org.apache.hadoop.security.JniBasedUnixGroupsMappingWithFallback, 若是JNI有效,它将发挥做用,使用Hadoop的API去获取user的groups列表。在有些场景下,特别是对一些大的,而且不可能重用的数据,缓存在操做系统的缓存区是无用的。可使用8进制数字也可使用符号,例如:"022" (8进制,等同于以符号表示的u=rwx,g=r-x,o=r-x),或者"u=rwx,g=rwx,o="(符号法,等同于8进制的007)。
大数据Hadoop平台监控、预警及自动化 共48页.pdf
03-26
大数据Hadoop平台监控、预警及自动化是大数据Hadoop平台的关键组件之一。它旨在提供实时的监控、预警和自动化功能,以确保Hadoop集群的稳定运行和高效运作。 监控是一种实时监控Hadoop集群的健康状态和性能的机制。...
大数据 Hadoop 框架
03-22
大数据的特性 大量 (Volume) 大数据的“大”首先体现在数据量上。这意味着您需要处理海量、...Hadoop 是用于处理大数据的工具之一。Hadoop 和其他软件产品通过特定的专有算法和方法来解释或解析大数据搜索的结果。
大数据hadoop视频教程
03-05
大数据Hadoop是一个开源的分布式计算框架,用于存储和处理大规模数据集。它由Apache基金会开发和维护,提供了可靠、可扩展和高效的数据处理能力。 Hadoop的核心组件包括: Hadoop分布式文件系统(HDFS):用于存储...
大数据 hadoop-3.1.3 linux 安装包
06-25
大数据领域,Hadoop是一个关键的开源框架,用于存储和处理海量数据。Hadoop-3.1.3是Hadoop的稳定版本,提供了许多增强的功能和优化,使其更适合大规模分布式计算环境。在这个针对Linux系统的安装包中,我们将探讨...
物联网大数据Hadoop全套软件
02-26
物联网大数据Hadoop全套软件,包括hadoop2.0、hbase、sqoop、zookeeper、apache-flume、apache-hive、hadoop+spark等全套软件,下载后安装,如需教程,可留言
Hadoop web页面的授权设定--转载
z7one
08-25 1522
blog1 一、相关概念   在默认情况下,Hadoop相关的WEB页面(JobTracker, NameNode, TaskTrackers and DataNodes)是不需要什么权限验证就可以直接进入的,谁都可以查看到当前集群上有哪些作业在运行,这对安全来说是很不合理的。我们应该限定用户来访问Hadoop相关的WEB页面,只有授权的用户才能看到自己授权的作业等信息,而不应该看到他不该看到的。其实Hadoop提供了简单的web页面的授权设定。   和Hadoop的RPC授权一样,Hadoop相关的W
Hadoop web页面的授权设定
mn_kw的博客
05-28 2159
在core-siet.xml配置文件中增加如下三行 <property> <name>hadoop.http.filter.initializers</name> <value>org.apache.hadoop.security.AuthenticationFilterIniti...
Hadoop Web控制台添加身份验证
xiaokebiubiubiu的博客
03-08 5504
我们在安装完hadoop 2.x 版本之后,默认情况下,可以通过 http://ip:50070/dfshealth.html访问hdfs页面,查看namenode和datanode状态,以及hdfs的相关文件等。但是这存在安全隐患,可能导致我们的文件信息的泄露,如果我们在页面里面添加个认证机制,只有验证之后的用户才可以进入页面里操作。 下面介绍一个既安全又好用的配置方案。 既然这是一个web界面,那就可以从为web项目添加用户校验入手,而不是为hadoop提供用户校验入手。 1、...
【转】Hadoop web页面的授权设定
aoluochou3553的博客
03-20 617
转载自过往记忆(http://www.iteblog.com/)本文链接地址:《Hadoop web页面的授权设定》(http://www.iteblog.com/archives/988) 一、相关概念   在默认情况下,Hadoop相关的WEB页面(JobTracker, NameNode, TaskTrackers and DataNodes)是不需要什么权限验证就可以直接进...
Hadoop/Hive-学习笔记【中级篇】
qq_34226628的博客
04-17 3540
hadoop配置文件详解系列 core-site.xml篇 hdfs-site.xml篇 本篇继续介绍hdfs-site.xml的配置。 属性名称 解释 hadoop.hdfs.configuration.version 【属性值】:1;【描述】:配置文件的版本 dfs.namenode.rpc-address 【属性值】:;【描述】:处理所有客户端请求的RPC地址,若在HA场景中,可能有多个namenode,就把名称ID添加到进来。该属性的格式...
Hadoop&hbase监控页面未授权访问漏洞处理方案验证过程实现
weixin_42621434的博客
10-29 9072
Hadoop&amp;hbase监控页面未授权访问漏洞处理方案验证 Hadoop:监控页面授权登录配置步骤: 1 页面弹出框授权 1.1页面弹出框授权配置 1.上传附件的jar包hadoop-http-auth-e3base.jar到$HADOOP_HOME/share/hadoop/common目录下 并分发到另外两台主机 2.修改$HADOOP_HOME/etc/hadoop/core-sit...
大数据hadoop环境部署.docx
03-19
本文是对大数据Hadoop环境的部署进行详细说明的文档,《大数据Hadoop环境部署.docx》和《Linux环境大数据Hadoop多模式安装部署》两部分,共分为五个部分:环境准备、SSH无密登录、单节点安装、伪分布安装部署和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值