大数据权限管理sentry与Kerberos概述

最新推荐文章于 2024-07-22 16:22:45 发布
最新推荐文章于 2024-07-22 16:22:45 发布
阅读量3.6k 收藏 7
点赞数 1
分类专栏: 大数据 文章标签: sentry 大数据权限管理 Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39657909/article/details/90519946
版权

大数据权限管理sentry与Kerberos概述

常见的解决方案分为两部分

1. 管理用户身份*即用户身份认证
2. 用户身份和权限的映射关系管理 即授权

而Hadoop中常见的开源解决方案是Kerberos(认证)+LDAP(授权),LDAP则是授权的环节,常见的解决方案有Ranger,Sentry等,Ranger与Sentry是不同的厂商开发出的所以在不同的平台需要用不同的框架,去进行授权的管理,CDH使用Sentry,Apache使用Ranger。

解决了什么问题:

1. 大数据每个组件(Hive/Hbase等)都有自己定义的权限管理,可以做到权限管理统一和简化
2. 当我们多个作业需要操作数据时,可以去做到数据的共享,因为不同的用户作业具有不同的用户权限
3. 当我们的服务与集群交互,编程和接入方式变得多样时,可以减少了权限管控的难度使权限管控更加细粒度化
4. 由于不同的作业具有不同的操作权限,可以使我们的存储、计算、查询框架之间数据的互通串联能力更强

一、CDH sentry权限管理框架简介

1.1.可以做到什么?

  1. 采用RBAC模型设计出来的框架,用户身份和权限的映射关系管理,也就是授权
  2. 防止用户误操作,因为不同的用户只能根据他的权限去操作数据
  3. 系统管理员可以在任何时候任何情况下去干扰一个作业或者数据
  4. 在不同的场景下每个用户可以扮演不同的角色,多个框架
  5. 当团队大了之后可以更加明确团队成员责任

1.2.解决了什么问题?

  1. 数据的敏感程度不同,对安全等级的区分和管控粒度的要求
  2. 各个组件自身架构在权限管控这块的实现可能千差万别,如何统一和简化的问题
  3. 分布式的集群场景,海量的数据对象,对权限管控流程的性能,效率,可维护性的要求
  4. 各种服务和集群多样的交互,编程和接入方式,增加了权限管控的范围和难度
  5. 数据的流动性本质,对权限的动态变更能力的需求

1.3.存在的问题?

1.	用户认证问题,避免用户自己为自己赋权限

1.3.1 解决方法

  1. Kerberos框架去实现用户认证

二、CDH Kerberos身份验证架简介

2.1.干什么的?

  1. Kerberos是Hadoop生态系中应用最广的集中式统一用户认证管理框架。
  2. 提供一个集中式的身份验证服务器,所有用户认证都是在Kerberos服务框架中统一管理

2.2.解决了什么问题?

  1. 管理用户身份,也就是用户身份认证
  2. 避免恶意伪装的钓鱼服务骗取用户信息的可能性。

2.3 核心思想

​ Kerberos最核心的思想是基于秘钥的共识,有且只有中心服务器知道所有的用户和服务的秘钥信息,如果你信任中心服务器,那么你就可以信任中心服务器给出的认证结果。
​ 此外很重要的一点,从流程上来说,Kerberos不光验证的用户真实性,实际上也验证了后台服务的真实性, 所以他的身份认证是双向认证,后台服务同样是通过用户,密码的形式登记到系统中的,避免恶意伪装的钓鱼服务骗取用户信息的可能性。

2.3.存在问题?

  1. 实施起来比较繁琐,因为每个服务都需要去接入Kerberos来进行认证

版权声明:本博客为记录本人自学感悟,转载需注明出处!
https://me.csdn.net/qq_39657909

叁木-Neil
关注
专栏目录
安全管理sentry+kerberos
12-15
通过SentryKerberos的结合使用,可以构建一个安全的大数据环境,确保只有经过认证和授权的用户才能访问特定的数据资源,从而提高整个系统的安全性。这对于大数据处理和分析的场景至关重要,尤其是在涉及敏感数据的...
Kerberos技术实践V1.0
super_chenzhou
08-07 741
Kerberos技术实践
CDH 之 Kerberos 安全认证和 Sentry 权限控制管理(一)
dzqxwzoe的博客
01-31 1112
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。ApacheSentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。
若依项目中的数据权限管理详解
最新发布
tigerhhzz的博客
07-22 4559
本部门数据权限只能看到本部门的,下面部门的数据看不到,本部门及以下数据权限可以看到部门以下的数据权限;例如对于销售,财务的数据,它们是非常敏感的,因此要求对数据权限进行控制, 对于基于集团性的应用系统而言,就更多需要控制好各自公司的数据了。如设置只能看本公司、或者本部门的数据,对于特殊的领导,可能需要跨部门的数据, 因此程序不能硬编码那个领导该访问哪些数据,需要进行后台的权限和数据权限的控制。结果很明显,我们多了如下语句。在实际开发中,需要设置用户只能查看哪些部门的数据,这种情况一般称为数据权限。
kerberos和ldap和sentry
小白学编程
09-27 4883
sentry 是权限控制 kerberos是身份认证,类似于防火墙.它是一个用于安全认证的第三方协议,并不是hadoop专用。可以用于其它系统,它采用了传统的共享密钥的方式,实现了client和server的通信 ldap是用户密码认证,clouderl登录hive和impala的时候,不输密码也可以登录,加了ldap就是必须输入账号密码 ...
kerberossentry 原理及使用
heqingcool的博客
06-07 778
安全认证与权限管理的必要性 非安全集群 安全认证集群 多租户设计愿景 kerberos kerberos原理 Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。 在cdh大数据平台中充当这秘钥的角色,cdh平台中组件会集成ker
大数据技术之CM6.3.1+CDH6.3.2配置Hue+Sentry权限管理.pdf
11-23
大数据技术之CM6.3.1+CDH6.3.2配置Hue+Sentry权限管理 本文档主要介绍了CDH6.3.2配置Hue+Sentry权限管理的步骤,旨在帮助读者了解大数据技术中的权限管理机制。 一、Sentry概述 Sentry是Apache开源组件,提供了细...
基于Sentry大数据权限解决方案.docx
10-26
Sentry大数据权限解决方案 Apache Sentry 是 Cloudera 公司发布的一个 Hadoop ...Sentry 提供了一种基于角色的授权机制和多租户的管理模式,能够满足大数据权限管理的需求,是 Hadoop 生态系统中的一个重要组件。
CDH5.15启用kerberos+Sentry手册_v1.0.docx
04-10
本手册将指导您在CentOS 6.5环境下,如何在CDH5.15版本中启用KerberosSentry,以实现全面的数据安全控制。 首先,Kerberos是基于密钥分发中心(KDC)的身份验证协议,它为网络服务提供强大的安全性。在CDH中启用...
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
大数据之CDH数仓(16) | Sentry概述+安装
Knight
10-12 1118
Sentry概述 cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。 kerberos主要负责平台用户的用户认证,sentry则负责数据的权限管理Sentry是什么 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,它提供了细粒度级、基于角色的授权以及多租户的管理模式。 Sentry提供了对Hadoop集群上经过身份验证的用户和应用程序的数据控制和强制执行精确级别权限的功能。Sentry目前可以与Apache Hive,Hive Me
CDH配置KerberosSentry (超详细)
summer089089的博客
07-22 5900
1.安全之Kerberos安全认证 1 Kerberos概述 1.1 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos不是k8s,Kubernetes简称k8s,是一个开源
CDH6 配置LDAP,KerberosSentry
weixin_40004348的博客
10-14 2564
CDH6 配置LDAP,KerberosSentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
为CDH 5.7集群添加Kerberos身份验证及Sentry权限控制
weixin_30340819的博客
10-17 803
转载请注明出处:http://www.cnblogs.com/xiaodf/ 4. 为CDH 5集群添加Kerberos身份验证 4.1 安装sentry1、点击“操作”,“添加服务”;2、选择sentry,并“继续”; 3、选择一组依赖关系 4、确认新服务的主机分配 5、配置存储数据库;  在mysql中创建对应用户和数据库: mysql>create database...
Hive/impala的kerberossentry相关问题
terrorblade1235的博客
08-04 3051
self application通过kerbeos认证的四种方式Simple Hadoop Client 这种方法不包含任何的认证,他依赖于当前机器已经取得TGT,这对于服务或者需要长时间运行的程序不适用,因为TGT可能会过期。每个用户在使用时都需要kinit先获取TGT Service Account Authorization 这种方法为Kerberos创建一个service account(服
ldap+kerberos+sentry实现验证
说文科技,做有态度的研究。
07-19 2241
ldap+kerberos+sentry实现验证 1)ldap的终端操作会在linux系统上创建出相应的用户。终端的操作比较危险,需要谨慎行事! 2)kerberos是用来创建认证的。 3)hive将表权限赋给某个用户的操作。【在mysql中将表赋权限给用户的操作是直接赋权的。比如语句:grant all privileges on hive.* to ‘hive’@’%’;】。但是hive中...
cdh5.7权限测试示例
weixin_30278311的博客
08-07 197
本文旨在展示CDH基于Kerberos身份认证和基于Sentry的权限控制功能的测试示例。 1. 准备测试数据 1 2 3 4 5 6 cat /tmp/events.csv 10.1.2.3,US,android,createNote 10.200.88.99,FR,windows,updateNote 10.1.2.3,US,and...
Impala配置Kerberos认证和Sentry权限控制
阿正的博客
05-05 1385
集群说明: 集群有wlint01、wlnamenode01、wldatanode001~wldatanode018一共20个节点, 对应ip地址 192.168.32.9~192.168.32.28 1.生成keytab文件 生成http.keytab文件 [wlbd@wlint01 keytabFile]$ sudo kadmin.local -q "xst -norandkey -k...
SentryKerberos大数据安全中的应用
**KerberosSentry的结合** 在大数据环境中,Kerberos为用户提供身份验证,而Sentry则在此基础上提供授权服务。当用户通过Kerberos获得票据后,Sentry会检查这个票据并决定用户是否具备访问特定数据资源的权限。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值