hadooprbac_hadoop集群认证和授权

最新推荐文章于 2024-05-16 02:50:50 发布
最新推荐文章于 2024-05-16 02:50:50 发布
阅读量673 收藏 1
点赞数
文章标签: hadooprbac
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39758953/article/details/111535937
版权

CDH 安全

hadoop的HDFS和mapreduce均缺乏相应的安全机制,比如在HDFS中,用户只要知道某个block的blockID,便可以绕过NameNode直接从DataNode上读取该block,用户可以向任意DataNode上写block;在MapReduce中,用户可以修改或者杀掉任意其他用户的作业等。为了增强hadoop的安全机制,从2009年起,Apache专门抽出一个团队,从事为hadoop增加基于kerberos和Deletion token的安全认证和授权机制工作。

下面我就会通过实际的配置案例来演示hadoop的认证(kerberos)和授权(sentry)实现。

特别说明:本次试验环境,基于上一篇博文(CDH和CM介绍及搭建)的环境进行操作。

hadoop集群的认证安全kerberos

Kerberos 介绍

Kerberos 几乎是hadoop集群唯一可用的安全认证的保证机制。为什么我要需要kerberos呢?因为hadoop集群默认采用基于操作系统账号的simple认证,基本没有安全性保证,用户只需要在客户端的操作系统上建立一个同名账号,就可以伪装成任何用户访问集群。为此我们就需要更强的认证机制。

Kerberos的认证过程如下图所示:

kerberos几个重要的基础概念如下表:

kerberos 的配置

在Hadoop1上执行以下操作,安装kerberos服务器和客户端

# yum -y install krb5-server krb5-libs krb5-workstation

修改kdc.conf配置文件,设置租约续期的最长时间,其余均为默认设置

[root@hadoop1-fblinux ~]# cat /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]

kdc_ports = 88

kdc_tcp_ports = 88

[realms]

HADOOP.COM = {# 起的名字

#master_key_type = aes256-cts# 此配置项是加密的算法,如果启用aes256,需要JDK上打过JCE补丁,我们已经打过,实际上可以启用。

max_renewable_life = 7d 0h 0m 0s# 为租约续期的最长时间

acl_file = /var/kerberos/krb5kdc/kadm5.acl

dict_file = /usr/share/dict/words

admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

}

修改krb5配置文件,设置kdc server信息和认证的域

[root@hadoop1-fblinux ~]# cat /etc/krb5.conf

# Configuration snippets may be placed in this directory as well

includedir /etc/krb5.conf.d/

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

dns_lookup_realm = false

ticket_lifetime = 24h

renew_lifetime = 7d

forwardable = true

rdns = false

pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt

default_realm = HADOOP.COM

[realms]

HADOOP.COM = {

kdc = 192.168.201.151

admin_server = 192.168.201.151

}

[domain_realm]

.hadoop.com = HADOOP.COM

hadoop.com = HADOOP.COM

初始化kerberos数据库,这里会要求输入一个密码,这个密码是kbs的管理员密码,一定要记住,忘记是很难办的

[root@hadoop1-fblinux ~]# kdb5_util create -s

Loading random data

Initializing database '/var/kerberos/krb5kdc/principal' for realm 'HADOOP.COM',

master key name 'K/M@HADOOP.COM'

You will be prompted for the database Master Password.

It is important that you NOT FORGET this password.

Enter KDC database master key:

Re-enter KDC database master key to verify:

创建管理员用户,创建张三李四用户,并导出证书

[root@hadoop1-fblinux ~]# kadmin.local

Authenticating as principal root/admin@HADOOP.COM with password.

kadmin.local: addprinc admin/admin# 创建管理员用户

WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy

Enter password for princi

最低0.47元/天 解锁文章
weixin_39758953
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
细细品味Hadoop_Hadoop集群VSFTP安装配置.rar_hadoop
09-21
这个压缩包文件"细细品味Hadoop_Hadoop集群VSFTP安装配置.rar_hadoop"似乎属于一个系列教程,专注于Hadoop集群的构建与管理,特别是结合了VSFTP(Very Secure FTP)的安装配置。VSFTP是一个在Linux系统中常用的、...
大数据之CDH数仓(17) | Sentry授权实战
Knight
10-13 796
Sentry授权实战 使用Sentry进行授权管理,需要使用Sentry的管理员用户对其他用户进行授权授权的方式有两种,一是通过HUE进行可视化操作,一是使用HIVE中的授权语句进行操作。 Sentry实战之HUE 1)配置HUE支持Sentry 在HUE配置项中搜索“Sentry”,勾选Sentry。 1)查看Sentry权限管理中的管理员组。 在Sentry的配置项中搜索“管理员组”,其中包括hive、impala,只有当某用户所属组位于其中时,才可为其他用户授予权限。 2)在Hive集群所有节点
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2420
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
最全【kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2,2024年最新为了跳槽强刷1000道大数据开发真题
最新发布
2401_84181253的博客
05-16 565
【代码】最全【kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2,2024年最新为了跳槽强刷1000道大数据开发真题。
sentry权限控制
weixin_43866666的博客
03-07 1068
Apache Sentry是一个可以对Hadoop集群中的数据及元数据进行细粒度管理的权限管理系统。Sentry目前可以与ApacheHiveHiveMetastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)等进行集成,对其数据进行权限管理。
Apache Sentry架构介绍
weixin_33709364的博客
04-08 1011
介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 特性...
配置安全Hive集群集成Sentry
weixin_33883178的博客
04-08 389
本文主要记录配置安全Hive集群集成Sentry的过程。Hive上配置了Kerberos认证,配置的过程请参考: 使用yum安装CDH Hadoop集群 Hive配置kerberos认证 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角...
细细品味Hadoop_Hadoop集群CentOS安装配置.rar_hadoop
09-24
在“细细品味Hadoop_Hadoop集群(第1期)_CentOS安装配置.pdf”文件中,你可以找到更详细的步骤和截图,以便更好地理解和实践这一过程。通过这个系列的学习,你将具备搭建和管理Hadoop集群的基本技能,为进一步探索...
Hadoop集群安装配置教程_Hadoop2.62
08-03
Hadoop集群安装配置教程_Hadoop2.6.0】是针对在Ubuntu和CentOS操作系统上搭建Hadoop集群的详细指南。本教程适用于Hadoop 2.x系列版本,特别是Hadoop 2.6.0及类似版本如Hadoop 2.7.1、Hadoop 2.4.1。它假设读者已经...
hadoop集群建立过程.rar_hadoop
09-23
解压后,配置Hadoop的环境变量,包括HADOOP_HOME、JAVA_HOME等,并修改Hadoop配置文件,如`core-site.xml`、`hdfs-site.xml`和`mapred-site.xml`。在`core-site.xml`中设置默认的命名节点,`hdfs-site.xml`用于定义...
hadoop集群搭建_hadoop配置文件修改
01-07
hadoop配置文件修改 先进入hadoop配置文件所在路径: cd /usr/local/src/hadoop-2.6.1/etc/hadoop 修改slaves vim slaves 修改core-site.xml vim core-site.xml fs.defaultFS hdfs://192.168.43.10:9000 #主机...
hive开通sentry权限问题梳理
寒夜
11-17 1246
一、hive权限变更缓慢 1、背景说明 2、问题分析 3、解决方式 二、sentry同步hive权限缓慢 1、背景说明 2、问题分析 三、sentry所用mysql字符集问题 1、背景说明 2、问题说明 3、解决办法 四、客户端下发问题 1、背景说明 2、问题说明 3、解决办法 五、yarn资源池配置 1、背景说明 2、问题说明 3、解决办法 六、sentry uri授权问题 1、问题说明 2、问题说明 3、解决办法 七、beeline启用sentry后,无法使用add file xxx 和add jar
CDH6.2环境中启用Kerberos
我思,故我在!--My data life
06-27 9145
一、Kerberos概述: Kerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloudera Manager可以较为轻松的实现界面化的Kerberos集成, Ker...
cdh5.7权限测试示例
weixin_30278311的博客
08-07 190
本文旨在展示CDH基于Kerberos身份认证和基于Sentry的权限控制功能的测试示例。 1. 准备测试数据 1 2 3 4 5 6 cat /tmp/events.csv 10.1.2.3,US,android,createNote 10.200.88.99,FR,windows,updateNote 10.1.2.3,US,and...
HDFS配置Kerberos认证
我喂自己袋盐
04-22 1万+
HDFS配置Kerberos认证
CDH集群关闭Kerberos验证
sharkdoodoo
04-24 1399
说明:在CDH开启Kerberos(参见我之前写的CDH集群开启Kerberos安全认证 )之后可能会由于某些情况再次关闭,在关闭的需要注意一些地方,具体如下 HBase关闭: 修改hbase.security.authentication为simple 取消勾选hbase.security.authorization HDFS关闭和修改配置: 修改hadoop.security...
CDH5.X安装配置kerberos认证过程
热门推荐
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程中遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节
CDH集成Kerberos配置
qxf1374268的博客
02-13 6336
转载自 JavaChen Blog,作者:JavaChen 原文链接地址:http://blog.javachen.com/2014/11/04/config-kerberos-in-cdh-hdfs.html 转载自 小黑的博客 原文链接地址:http://www.xiaohei.info/2016/09/01/cdh-install-kerberos-ldap-sentry/...
hadoop 添加kerberos认证
hua840812的专栏
03-21 3982
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
GIS_Tools_for_Hadoop:ArcGIS与Hadoop集成实战
安装过程包括配置环境,克隆多台机器,并设置/ETC/HOSTS文件,确保无密码SSH登录,以及格式化和启动Hadoop集群。 4. **测试Hadoop** 安装完成后,需进行格式化和启动Hadoop服务,然后检查各节点状态,确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值