kerberos认证_大数据培训_安全认证原理和认证机制

最新推荐文章于 2024-01-02 19:08:32 发布
最新推荐文章于 2024-01-02 19:08:32 发布
阅读量124 收藏
点赞数
文章标签: kerberos认证 kerberos认证原理

功能

  Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”,后来沿用作为安全认证的概念,使用Kerberos的系统在设计上采用“客户端/服务器”结构与AES等加密技术,并且能够进行相互认证(即客户端和服务器端均可对对方进行身份认证)。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

结构

  Kerberos的原理架构如图1所示,各模块的说明如表1所示。

  原理架构

8aecc77896373537bdaf88982e6c4c03.png

680878b6a2a4cef478d89eb338925c83.png

  步骤原理说明:

  应用客户端(Application Client)可以是集群内某个服务,也可以是客户二次开发的一个应用程序,应用程序可以向应用服务提交任务或者作业。

  应用程序在提交任务或者作业前,需要向Kerberos服务申请TGT(Ticket-Granting Ticket),用于建立和Kerberos服务器的安全会话。

  Kerberos服务在收到TGT请求后,会解析其中的参数来生成对应的TGT,使用客户端指定的用户名的密钥进行加密响应消息。

  应用客户端收到TGT响应消息后,解析获取TGT,此时,再由应用客户端(通常是rpc底层)向Kerberos服务获取应用服务端的ST(Server Ticket)。

  Kerberos服务在收到ST请求后,校验其中的TGT合法后,生成对应的应用服务的ST,再使用应用服务密钥将响应消息进行加密处理。

  应用客户端收到ST响应消息后,将ST打包到发给应用服务的消息里面传输给对应的应用服务端(Application Server)。

  应用服务端收到请求后,使用本端应用服务对应的密钥解析其中的ST,并校验成功后,本次请求合法通过。

基本概念

  以下为常见的基本概念,可以帮助用户减少在学习Kerberos框架所花费的时间,有助于更好的理解Kerberos业务。以HDFS安全认证为例:

  TGT

  票据授权票据(Ticket-Granting Ticket),由Kerberos服务生成,提供给应用程序与Kerberos服务器建立认证安全会话,该票据的默认有效期为24小时,24小时后该票据自动过期。

  TGT申请方式:

  通过HDFS提供的接口获取(具体接口信息可以参考HDFS二次开发指南)。

private Boolean login(Configuration conf){

boolean flag = false;

UserGroupInformation.setConfiguration(conf);

try {

UserGroupInformation.loginUserFromKeytab(conf.get(PRINCIPAL),conf.get(KEYTAB));

System.out.println("UserGroupInformation.isLoginKeytabBased():" +UserGroupInformation.isLoginKeytabBased());

flag = true;

} catch (IOException e) {

e.printStackTrace();

}

return flag;

}

  通过客户端shell命令以kinit方式获取,具体使用方式可参考Shell操作维护命令说明书。

  ST

  服务票据(Server Ticket),由Kerberos服务生成,提供给应用程序与应用服务建立安全会话,该票据一次性有效。

  ST的生成在FusionInsight产品中,基于hadoop-rpc通信,由rpc底层自动向Kerberos服务端提交请求,由Kerberos服务端生成。

认证代码实例讲解

private void init() throws IOException {

Configuration conf = new Configuration();

// conf file

conf.addResource(new Path(System.getProperty("user.dir")

+ File.separator + "conf" + File.separator + "hdfs-site.xml"));

conf.addResource(new Path(System.getProperty("user.dir")

+ File.separator + "conf" + File.separator + "core-site.xml"));

// security mode

if ("kerberos".equalsIgnoreCase(conf

.get("hadoop.security.authentication"))) {

// 注[1]

conf.set(PRINCIPAL, "hdfstest@HADOOP.COM");

// keytab file

conf.set(KEYTAB, System.getProperty("user.dir") + File.separator

+ "conf" + File.separator + "user.keytab");

// kerberos path

String krbfilepath = System.getProperty("user.dir")

+ File.separator + "conf" + File.separator + "krb5.conf";

System.setProperty("java.security.krb5.conf", krbfilepath);

login(conf); //注[2]

}

// get filesystem

try {

fSystem = FileSystem.get(conf); //注[3]

} catch (IOException e) {

throw new IOException("Get fileSystem failed.");

}

}

private Boolean login(Configuration conf){

boolean flag = false;

UserGroupInformation.setConfiguration(conf);

try {

UserGroupInformation.loginUserFromKeytab(conf.get(PRINCIPAL), conf.get(KEYTAB));

System.out.println("UserGroupInformation.isLoginKeytabBased(): " +UserGroupInformation.isLoginKeytabBased());

flag = true;

} catch (IOException e) {

e.printStackTrace();

}

return flag;

}

weixin_39534121
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
conn = connect(host=ip, port=10000, auth_mechanism='GSSAPI', kerberos_service_name='hive') cursor = conn.cursor() cursor.execute('SELECT * FROM default.books') for row in cursor: print(row) ``` ...
kerberos安全认证
12-29
通过学习和理解Kerberos的工作原理和配置,我们可以更好地保护数据和资源,防止未经授权的访问。这个压缩包文件中的内容可能包含了这些组件的Kerberos配置示例和开发文档,对于理解和实施Kerberos安全认证非常有价值...
大数据安全】基于Kerberos大数据安全验证方案
tianyeshiye
01-16 713
1.背景 互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题,不幸的是,防火墙是假设“坏人”是来自外部的,而真正具有破坏性的攻击事件都是往往都是来自于内部的。 近几年,在thehackernews等网站上总会时不时看到可以看到一些因为数据安全问题被大面积攻击、勒索的事件。在Hadoop1.0.0之前,Hadoop并不提供对安全的支持,默认集群内所有角色都是可靠的。用户访...
(1)大数据管理:kerberos安全认证了解
张不帅
11-14 539
文章目录Kerberos是什么Kerberos的概念Kerberos认证原理 Kerberos是什么 Kerberos是一种计算机网络授权协议,用来在非安全网路中,对个人通信以安全的手段进行身份验证,该词为麻省理工学院为这个协议开发的一套计算机软件,软件设计采用CS架构,并且能够进行互相认证,客户端和服务器都可对对方进行身份验证,可以用于防止窃听,防止重放攻击,保护数据完整性等场合,是一种应用对称...
kettle通过kerberos认证
leveretz的博客
08-07 654
原问地址:https://blog.csdn.net/qq_35995514/article/details/106985817 目录 一、背景介绍 二、涉及kerberos 认证的步骤 1、JS 下载文件 2、JS 重命名HDFS文件 3、文件移动 三、代码 1、编写类HDFSProcess 2、编写类HDFSUtil 3、编写类 KettleKerberosUtils 4、编写类KerberosUtil 5、编写工具类PropertyUtils 一、背景介绍 在 这篇...
Kerberos认证流程
weixin_33989058的博客
07-13 1316
开篇之前郑重申明:本文是基于Artech 所介绍的Kerberos认证的来谈谈个人对Kerberos认证流程以及消息交互理解。如果您想深入了解,请点击此处。如有理解不当的地方,还望赐教。 先介绍Kerberos中的几个概念: 概念说明:AD:Active DirectoryService Session Key :服务会话密钥Logon Session Key :登录会话密钥KDC : Key ...
.net java xml_java.net.MalformedURLException – 在通过StAX解析XML文件时
weixin_42410477的博客
02-25 294
我必须使用StAX解析XML文件.我抓住了一堆例外:javax.xml.stream.XMLStreamException: java.net.MalformedURLExceptionat com.sun.org.apache.xerces.internal.impl.XMLStreamReaderImpl.setInputSource(XMLStreamReaderImpl.java:217)...
基于Kerberos认证大数据权限解决方案.docx
10-26
它通过提供强大的加密算法和安全机制,确保了网络通信的安全性和可靠性。 #### 系统环境说明 为了实现Kerberos认证大数据权限管理方案,本项目采用了以下技术栈: - **操作系统**:CentOS 7.4 - **Hadoop发行版*...
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket...由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。
kerberos认证过程,AD域认证
06-12
基于以上三点,Kerberos认证机制的核心思想是通过客户端(Client)和服务器(Server)共享的密钥(Key)来实现身份验证。这一密钥(KServer-Client)仅由客户端和服务端共同知晓,客户端向服务端提供以下两组信息以证明其...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kettle集成kerberos认证hadoop
lpc001的博客
04-15 1087
这里写自定义目录标题需求选择对应的目录,修改其中的jar包中的CommonHadoopShim类的getFileSystem方法。修改方法: 需求 由于公司使用了kerberos认证的hadoop。在使用kettle的过程中发现访问hadoop的hdfs时会出现权限错误。故需要寻找一种能够通过kettle访问带kerberos认证hadoop的方法。 查找了网上的文章,发现可以通过自己修改kettle大数据连接源码的方式达到目标,但是网上并没有详细过程。故将详细过程进行分享。 选择对应的目录,修改其中的ja
kettle】pdi/data-integration 集成kerberos认证连接hdfs、hive或spark thriftserver
最新发布
lisacumt的专栏
01-02 1545
pdi/data-integration 集成kerberos认证连接hdfs、hive或spark thriftserver。含hadoop conf和kerberos认证工具类。
kettle连接kerberos认证的CDH
YangYuanhua1988的博客
08-18 935
关于kettle连接kerberos认证的CDH问题,以下作为一个备忘 公司使用kettle也有一段时间了,遇到了各种问题,但是通过源码能很快速的解决。唯独在集成 hadoop kerberos上花费了不少心思。搜索了国内外各大搜索引擎和知名的IT问答网站,没能找到答案。抓破脑袋一遍又一遍的看源码,看kerberos的实现机制,都不能很完美kettle集成kerberos,直到高人的一句话,如沐春风~~ kettle 版本 6.0.1-196 思路:修改hadoop的UserGroupInformati
kettle支持kerberos认证的hive集群
wangjunji34478的专栏
04-13 7935
Kettle对接指南 1.1 环境准备 1.1.1 Linux平台 安装操作系统 步骤 1安装CentOS6.5 Desktop。 步骤 1禁用防火墙,SELinux。 步骤 2添加本地主机名解析,使用vi /etc/hosts添加本地主机名解析。 162.1.115.89 kettle ----结束 步骤 1下载完整客户端,安装至目录“/opt/hadoopclient...
Kerberos 认证配置
weixin_34392843的博客
07-18 134
2019独角兽企业重金招聘Python工程师标准>>> ...
Apache Hive+Kerberos安装配置及 Kettle(Pentaho)访问带 Kerberos 认证的 Hive的集成
Yore - Home
07-07 6165
本文重点介绍了客户端如何访问带有 Kerberos 认证的 Hive,其中客户端工具以 Kettle 和 DBeaver 为例。为了详细介绍整个过程,本文又介绍了如何基于 Apache 版本的 Hadoop 和 Hive 搭建带有 Kerberos 认证大数据集群。Kerberos 客户端环境重点以 Windows 为例,因此也介绍了在 Windows 系统下如何安装 和使用 Kerberos。最后经过修改 DBeaver 和 Kettle 启动脚本,从而成功访问带有 Kerberos 认证的 Hive
解决KettleKerberos集成问题
weixin_34233856的博客
06-20 1142
本文目的:记录Kerberos环境下,通过Kettle将MySQL数据清洗到HDFS过程解决的2个问题,希望对大家有所帮助。 Kettle版本:pdi-ce-7.1.0.0-12 1、在KerberosKettle集成过程中,我们有如下场景:将数据从MySQL定时抽出,然后写到HDFS。 在从MySQL取数并写入HDFS过程中,需要Kettle取得KDC认证,但无论怎么配置,还是无法解...
kerberos认证_Mac里捣腾Kerberos(一)
05-16
Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。在Mac上,可以使用Kerberos来进行身份验证,以便在使用网络服务时不需要再次输入用户名和密码。以下是在Mac上配置Kerberos的步骤: 1. 安装Kerberos ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值