solr集成kerberos认证

最新推荐文章于 2023-08-23 16:44:56 发布
最新推荐文章于 2023-08-23 16:44:56 发布
阅读量645 收藏
点赞数
文章标签: java linux 大数据 docker zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_28007043/article/details/116142098
版权

1. 软件版本

  Solr 8.8

2. kerberos

2.1. 添加solr用户

  在kdc中为solr添加主体并生成用于验证HTTP请求的keytab文件,为每个要运行solr的主机创建一个keytab文件,并将主体名称与主机一起使用:

root@kdc:/# kadmin.local
kadmin.local: addprinc -randkey HTTP/<hostname>@EXAMPLE.COM
kadmin.local: ktadd -k /tmp/solr.keytab HTTP/<hostname>@EXAMPLE.COM
kadmin.local: quit

  注:

    addprinc -randkey HTTP/\${HOST1}@EXAMPLE.COM,将${HOST1}替换为实际的主机名。

    上述操作需要每个solr节点都重复一遍,为每台solr节点创建kerberos HTTP用户主体,并生成/tmp/solr.keytab文件,最后复制到solr节点的/keytabs/solr.keytab路径。

2.2. zookeeper配置(如果已配置kerberos则跳过)

  zookeeper管理solrcloud集群中的节点通信,它必须要与集群各节点中认证。配置要求为zookeeper设置服务principal,定义JAAS配置文件。

  第一步是在zookeeper的conf目录创建java.env文件,并且添加如下内容:

export JVMFLAGS="-Djava.security.auth.login.config=/etc/zookeeper/conf/jaas-client.conf"

  JAAS配置文件应该包含下面的参数,确保改变principal和keytab的路径。jaas-client.conf配置内容如下:

Server {
 com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/keytabs/zkhost1.keytab"
  storeKey=true
  doNotPrompt=true
  useTicketCache=false
  debug=true
  principal="zookeeper/host1@EXAMPLE.COM";
};

  最后,在zookeeper配置文件zoo.cfg添加如下内容:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

  启动zookeeper的时候,需要指定JAAS配置文件,如下:

bin/zkServer.sh start -Djava.security.auth.login.config=/etc/zookeeper/conf/jaas-client.conf

2.3. 创建security.json

  在solrcloud模式中,设置solr通过上传security.json到zookeeper来使用kerberos插件

server/scripts/cloud-scripts/zkcli.sh -zkhost localhost:2181 -cmd put /security.json '{"authentication":{"class":"org.apache.solr.security.KerberosPlugin"}}'

  如果你使用solr的standalone模式,需要创建security.json文件,然后放置在$SOLR_HOME目录下方。

2.4. 创建jaas文件

  JAAS配置文件定义认证属性使用,例如服务principal和keytab路径。在下面的例子中,我们创建JAAS配置文件/home/foo/jaas-client.conf。当我们启动solr的时候,我们将会使用该名字和路径。确保使用正确principal和keytab文件路径。

Client {
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    keyTab="/keytabs/solr.keytab"
    storeKey=true
    useTicketCache=true
    debug=true
    principal="HTTP/192.168.0.107@EXAMPLE.COM";
};

2.5. 在solr.in.sh中添加以下内容

  当启动solr的时候,需要配置solr的start命令中属性参数,示例如下:

SOLR_AUTH_TYPE="kerberos"
SOLR_AUTHENTICATION_OPTS="-Djava.security.auth.login.config=/home/foo/jaas-client.co
nf -Dsolr.kerberos.cookie.domain=192.168.0.107 -Dsolr.kerberos.cookie.portaware=true -Dsolr.kerberos.principal=HTTP/192.168.0.107@EXAMPLE.COM -Dsolr.kerberos.keytab=/keytabs/solr.keytab"

2.6. 启动solr

bin/solr -c -z server1:2181,server2:2181,server3:2181/solr

2.7. 测试配置

  第一步执行如下命令:

kinit user@EXAMPLE.COM

  第二步执行如下命令,curl,会得到成功的反应:

curl --negotiate -u : "http://192.168.0.107:8983/solr/"

3. solrJ的认证

   在solrJ应用中使用kerberos认证,需要在创建solr客户端之前执行下面两步:

System.setProperty("java.security.auth.login.config", "/home/foo/jaas-client.conf");
HttpClientUtil.setConfigurer(new Krb5HttpClientConfigurer());

  你需要为JAAS客户端配置jaas-client.conf指定kerberos服务principal和keytab,如下:

SolrJClient {
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    keyTab="/keytabs/foo.keytab"
    storeKey=true
    useTicketCache=true
    debug=true
    principal="foo@EXAMPLE.COM";
};

4. 参考资料

https://solr.apache.org/guide/8_8/kerberos-authentication-plugin.html

Swordfall
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何安全的访问Solr web
qq_41401835的博客
04-21 1100
基于Basic,安全访问Solr web 摘要:在搭建好Solr以后,我们可以通过Solr Admin Page管理页面简单的使用Solr,当然不希望这样的页面对外公开访问。可以通过认证的方式加密Solr admin page。 注:使用solr版本 为 7.7版本,单机模式 Solr集成了以下几种验证方式: Basic自定义身份验证方式 Kerberos身份验证方式 Hadoop身份验证方...
Kerberos认证协议
u011079143的博客
05-14 3497
安全协议:Kerberos认证协议 一、简介 Kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证。设计者的设计初衷是要用Kerberos的三个头来守卫网络之门。三个头分别包括:认证、账目清算和审计。 Kerberos要解决的问题 在一个开放的分布式网络环境中,用户通过工作站访问服务器提供的服务,存在许多问题: 工作站上的用户可以冒充另一个用户操作 用户可以...
solr kerberos java_solr添加kerberos认证及授权
weixin_30296363的博客
02-13 312
solr添加kerberos认证及授权@(OTHERS)[solr]一、kerberos(一)添加用户在kdc中添加solr用户:root@kdc:/# kadmin.localkadmin.local: addprinc HTTP/192.168.0.107kadmin.local: ktadd -k /tmp/107.keytab HTTP/192.168.0.107kadmin.local:...
solr kerberos java_Kerberos身份验证插件
weixin_42299150的博客
02-22 476
如果您使用Kerberos来保护您的网络环境,则可以使用Kerberos身份验证插件来保护Solr集群。这允许Solr使用Kerberos服务主体和keytab文件来认证ZooKeeper以及Solr群集的节点(如果适用)。Admin UI和所有客户端(如SolrJ)的用户在能够使用UI或向Solr发送请求之前还需要拥有一个有效的票证。在SolrCloud模式或独立模式下支持Kerberos身份验...
solr添加kerberos认证及授权
jediael_lu的专栏
08-01 2641
solr添加kerberos认证及授权@(OTHERS)[solr]一、kerberos(一)添加用户在kdc中添加solr用户:root@kdc:/# kadmin.local kadmin.local: addprinc HTTP/192.168.0.107 kadmin.local: ktadd -k /tmp/107.keytab HTTP/192.168.0.107 kadmin.loca
0703-6.2.0-使用Sentry为Solr进行赋权
Hadoop_SC的博客
10-03 378
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 在CDH中,Sentry服务是一个基于角色授权的管理组件,通常我们将Sentry用来管理Hive、Impala等组件,但是同样的,Sentry也可以为Solr提供基于角色的细粒度授权,在启用Se...
元数据管理-Atlas的介绍和使用(集成Hive、Solr、Kafka、Kerberos)
迷雾总会解
06-15 2217
概述介绍架构发展架构原理类型系统介绍类型hive_table类型介绍DataSet类型定义Asset类型定义Referenceable类型定义Process类型定义Entities(实体)Attributes(属性)安装安装环境准备安装Solr-7.7.3安装Atlas2.1.0Atlas配置Atlas集成HbaseAtlas集成SolrAtlas集成KafkaAtlas Server配置Kerberos相关配置Atlas集成HiveAtlas启动Atlas使用Hive元数据初次导入Hive元数据增量同步。
kerberos 认证方式-主机认证
技术博客
04-09 5009
kerberos 认证方式-主机认证 业务系统常有这样的需求,从a机器连b机器,即ssh的方式远程调用b机器上得脚本或者命令,每次都要输入用户名和密码,很麻烦 把密码写进脚本里,人员变动之后还要改密码,这个非常麻烦,为了解决这个问题,使用kerborse认证的方式能不能也实现类似ssh免密码登陆那样的功能呢! 下面就介绍一下怎么做,一共只有两步: 1、目标机器改k5logi
最新版linux solr-8.6.1.tgz
08-17
8. **安全性**:Solr 8.6.1支持基本的认证和授权机制,如Kerberos和HTTPS加密,以保护敏感数据。 9. **新特性**:Solr 8.6.1可能包括对性能的提升、新的查询语法、更丰富的API支持、改进的集群管理和稳定性增强等。...
Solr调研总结共48页.pdf.zip
10-28
12. **安全性与访问控制**:Solr支持基本的认证和授权机制,如使用Jetty的security handlers,或者结合Kerberos进行安全设置。 13. **Solr与Hadoop集成**:Solr可以与Hadoop生态系统无缝集成,通过SolrCloud模式...
非常全面的solrj使用案例
01-10
里面有非常详细的说明交你怎么使用solrj客户端来操作solrAPI
安全管理sentry+kerberos
12-15
Sentry目前与Apache Hive、Hive Metastore/HCatalog、Apache Solr、Impala以及HDFS(针对Hive表数据)等组件集成,提供精确级别的权限控制。 **Sentry概述** 1. **Sentry的定义**:Sentry是一个Hadoop组件,它允许...
Solr4+SolrCloud安装使用手册和详细说明,参考官方文档整理.
01-31
SolrCloud 可以与 LDAP 或 Kerberos 集成实现用户认证和授权。通过配置安全插件,可以控制对 Solr 服务和数据的访问。 ### 总结 SolrCloud 提供了一种分布式搜索解决方案,通过 ZooKeeper 实现集群管理,通过分片...
solr-forward-auth-plugin:Solr的简单正向身份验证插件
04-08
这种方法可以与现有的身份验证系统集成,比如Kerberos、OAuth或者自定义的身份验证服务,从而提供了一种方便的方式来管理和控制Solr的访问权限。 `solr-forward-auth-plugin-main`这个文件名很可能表示的是该插件的...
solr kerberos java_Solr专题(四)Solr安全设置
weixin_39614750的博客
02-22 98
因为solr的admin界面默认只需要知道ip和端口就能直接访问,如果被别有用心的人盯上就很容易给你的系统带来重大的破坏,所以我们应该限制访问。请注意本例使用的是Solr7。Solr集成了以下几种验证方式:Basic自定义身份验证方式Kerberos身份验证方式Hadoop身份验证方式最简单的一种大概就是限制solr服务的访问ip,如果使用tomcat当做容器,可以在server.xml中配置可访...
solr配置安全验证
sulei627719296的博客
08-23 726
由于启动后默认是不用登入即可访问 Solr 管理界面,这样暴露了Solr核心库,易引起他人删除索引库数据,故配置登入权限才可访问 Solr 管理界面,步骤如下。
Solr学习笔记(3)-Solr Admin UI 授权插件配置
隔壁老瓦的专栏
05-21 1789
http://lucene.apache.org/solr/guide/7_7/basic-authentication-plugin.html#enable-basic-authentication Solr具有支持用户身份验证和授权的安全框架。这允许验证用户的身份并限制对solr集群中资源的访问。 Solr包含一些现成的插件,并且可以使用下面描述的身份验证和授权框架开发其他插件。 所...
solr4.x的kerberos认证
丨若寒丶的博客
12-20 239
public static void loginSolr(String username,String password) { HttpClientUtil.setConfigurer(new PreemptiveBasicAuthConfigurer()); ModifiableSolrParams params = new ModifiableSolr...
solr配置身份认证
最新发布
08-24
对于 Solr 的身份认证配置,您可以按照以下步骤进行设置: 1. 启用 Solr 的身份认证:在 Solr 的安装目录中,打开 `solr.in.sh`(Linux/MacOS)或 `solr.in.cmd`(Windows)文件,并找到以下行: ``` # SOLR_AUTHENTICATION_OPTS= ``` 取消注释并设置该行为: ``` SOLR_AUTHENTICATION_OPTS="-Dbasicauth=solr:password123" ``` 其中 "solr" 是用户名,"password123" 是密码。 2. 创建授权用户:在 Solr 的安装目录中执行以下命令以创建授权用户: ``` bin/solr create_user -c <core_name> -p <password> ``` `<core_name>` 是您的 Solr 核心名称,`<password>` 是用户的密码。 3. 配置授权规则:打开 Solr 的 `solr.xml` 配置文件,并在 `<security>` 标签内添加以下内容: ```xml <authentication class="solr.BasicAuthPlugin"> <str name="credentials">solr:password123</str> <str name="realm">Solr Basic Authentication</str> </authentication> <authorization class="solr.RuleBasedAuthorizationPlugin"> <params> <!-- 添加授权规则 --> </params> </authorization> ``` 4. 配置访问控制规则:在 `<authorization>` 标签下添加适当的规则以控制用户的访问权限。例如,可以使用如下规则允许用户具有完全访问权限: ```xml <rule name="allow_all" role="solr-admin"> <user username="solr"/> </rule> ``` 您可以根据需要添加其他规则。 5. 重启 Solr:完成上述配置后,重新启动 Solr 服务以使身份认证生效。 请注意,在配置身份认证之前,建议先进行备份并确保对 Solr 实例有适当的访问权限。此外,也可以使用其他可用的身份认证插件,如 LDAP 或 Kerberos。详细信息可以参考 Solr 的官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值