kerberos安全认证

最新推荐文章于 2024-04-16 16:55:47 发布
最新推荐文章于 2024-04-16 16:55:47 发布
阅读量573 收藏 2
点赞数
分类专栏: hadoop 文章标签: 安全 hadoop hdfs 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44352020/article/details/105926913
版权

1.kerberos安全认证原理:

客户端跟服务端可以对对方进行身份认证,防止窃听,防止replay攻击。保护数据完成性,是一种应用对称密钥体制进行密钥管理的系统。

2.基本概念

Principal(安全个体):被认证的个体,有一个名字和口令
KDC(key distribution center):一个网络服务服务,提供ticket和临时会话密钥
Ticket:一个记录,客户用它来向服务器证明自己的身份,客户标识,会话密钥和时间戳
TGT:由kerberos服务生成,提供给应用程序与kerberos服务器简历认证安装全会话,该票据默认有效期为24 小时,24 小时后票据自动过期。

3.kerberos协议

kerberos协议分为两个部分
1.client想KDC发送自己的身份信息,KDC从ticket granting Servive 的得到tgt,并用协议开始前client与kdc的密钥将tgt加密回复给client
此时直有真正的client才能例用它与kdc之间的密钥将加密后的tgt解密,从而获得tgt
2.client例用之前获得的tgt向kdc请求其他service的ticket从而通过其他service身份鉴别(调用hadoop 的接口访问文件系统此时底层rpc会自动携带tgt去kerberos认证)

4.客户端二次开发流程

若待连接的hdfs服务端开启了kerberos认证,则在使用改hdfs提供的api之前需要按照如下的方法进行Kerberos安全认证,认证通过之后才能实例化Filesystem,使用hdfs的api。

4.1配置文件准备

1.修改配置文件core-site.xml,令其使用Kerberos安全认证,配置如下

hadoop.security.authentucation
kerberos

修改配置文件hive-site.xml,令其使用Kerberos安全认证,配置如下
matestore开关

hadoop.matestore.sasl.enabled
true

修改配置文件hive-site.xml,令其使用Kerberos安全认证,配置如下
hive2开关

hive.server2.authentucation
KERBEROS

2.去的安全认证账号,及线管凭证文件(keytab文件或者密码和krb5文件)。如hdfs用户的凭据文件一般为krb5.conf和hdfs.keytab。

4.2代码示例

两种方式

4.1.1hadoop登录模块

需要keytab文件,优点市票据过期会自动刷新,只要服务器端的凭据文件不重新生成,都可以一直有效,而应用所在机器不需要部署kerberos 。缺点市对于已经存在的应用程序需要改造代码(改造代价很小)
代码如下:即在实例化hdfs文件系统之前需要先加载配置文件,进行kerberos安全认证

public class HelloKerberosHadoop{
	public static void main(String [] args){
	Cinfiguration conf =loadConfig();
	FileSystem hdfs= null;
	//本地文件
	Path scr =new Path("E:\\zte.txt");
	//hdfs文件
	Path dst=nwe Path("/");
	try{
	authenticatuib(conf."hdfs/aaa@cdh.com",
	"/src/main/resource/krb5.conf",
	"/src/main/resource/krb5.conf")
	hdfs=Filesystem.get(conf);
	hdfs.copyFromLocalFile(src,dst);
	}catch(ioexception,e){
	sout("io异常")
	}finally{
	try{
	hdfs.close()}catch(ioexception,e){
	e.printStackTrace();
}

//kerberos security authentication
private static void authentication(Cinfiguration conf ,String principal,Stringkrb5Path,String keytabPath) whrows oiex{
if("kerberos".equalsIgnoreCase(conf.get("hadoop.security.authentication")))
{System.setProperty("java.security.krb5.conf".krb5Path);
UserGroupInformation.setCinfiguration(conf);
UserGroupInformation.loginUserFromkeytab(principal,keytabPath);
}
}
private static Cinfiguration loadConfig(){
	Cinfiguration conf =new Cinfiguration();
	//conf.addResource(new Path(PATH_TO_HDFS_SITE_XML));
	//conf.addResource(new Path(PATH_TO_CORE_SITE_XML));
	return conf;
}
}
4.1.2kinit命令

需要keytab文件或者输入密码,缺点是票据过期(可以配置),而应用所在机器需要部署kerberos,要使用kinit命令行 。优点是不需要代码。
具体的命令行如下:

方法一使用keytab文件
kinit -k -t hdfs.keytab hdfs/aaa.CDH.COM
方法二输入密码
kinit  me@CL2.CDH.COM
password for me@CL2.CDH.COM:

若使用keytab文件,加入代码中,示例如下:

public class HelloKerberosHadoopViaSH{
	public static void main(String [] args){
	Cinfiguration conf =loadConfig();
	FileSystem hdfs= null;
	//本地文件
	Path scr =new Path(arg[0]);
	//hdfs文件
	Path dst=nwe Path("/");
	try{
	if("kerberos".equalsIgnoreCase(conf.get("hadoop.security.authentication"))){
String command ="kinit -k -t hdfs.keytab hdfs/aaa.CDH.COM";
Porcess process=Runtime.getRuntime().exec(command);
if(process.waitFor()!=0){
sout("exec kiinit failed");
}
	hdfs=Filesystem.get(conf);
	hdfs.copyFromLocalFile(src,dst);
	}catch(ioexception,e){
	sout("io异常")
	}catch(InterruptedException ,e){
	sout("exec kinit InterruptedException!")
	}finally{
	try{
	hdfs.close()}catch(ioexception,e){
	e.printStackTrace();
}
}
}
private static Cinfiguration loadConfig(){
	Cinfiguration conf =new Cinfiguration();
	//conf.addResource(new Path(PATH_TO_HDFS_SITE_XML));
	//conf.addResource(new Path(PATH_TO_CORE_SITE_XML));
	return conf;
}
}
weixin_44352020
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kerberos认证
weixin_42609714的博客
02-08 2330
Key Distribution Center(KDC):也就是密钥分发中心 参考:http://www.h3c.com/cn/d_201309/922101_30005_0.htm 1阶段 第一步客户端需要向KDC 申请的是一个短期的会话密钥A(短期密钥适合加密那些需要在网络上传输的数据),用于Client和Server之间的信息加密; 客户端发送包括自己的信息以及希望访问的Server的信息; 第二步,KDC接收到这个请求的时候,生成一个会话密钥A,为了保证这个密钥仅限于发送请求的Client和他希望
Kerberos安全体系简介
heima201907的博客
12-24 200
1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 首次请求,三次通信方 the Au...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kerberos】深入理解kerberos票据生命周期
Mrerlou的博客
06-17 1906
查看当前服务器票据 Valid starting:认证的时间,也就是执行kinit的时间:2019-11-27T14:01:44 Expires:失效时间2019-11-28T14:01:44,这个时间是票据当前生命周期的失效时间 renew until:票据一个生命周期过后,都会自动刷新一次获得新的票据,直到2019-12-04T14:01:44,每次刷新后Expires都会变化; 当然也可以手动刷新 手动刷新的话,valid starting和Expires会变,renew until不变 其实可以
安全认证Kerberos详解
最新发布
Shawn的个人博客
04-16 1142
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Java登录Kerberos认证过期问题
huangyueranbbc的博客
11-30 7072
问题: 最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期到时查询Hbase失败的问题。 Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。 spark2-submit \ --master yarn \ --deploy-mode cluster \ --num-exec.
安全认证Kerberos
yingzi的技术博客
02-22 1018
文章目录一、Kerberos概述1.kerberos简介2.Kerberos术语3.Kerberos认证原理二、Kerberos安装1.安装Kerberos相关服务2.修改配置文件3.初始化KDC数据库4.修改管理权限配置文件5.启动Kerberos相关服务6.创建Kerberos管理员用户三、Kerberos数据库操作1.登录数据库2.创建Kerberos主体3.修改主体密码4.删除Kerberos主体5.查看所有主体四、Kerberos认证操作1.密码认证2.密钥文件认证3.销毁凭证 一、Kerbero
Kerberos认证
errorr0
08-09 1624
Kerberos认证
kerberos安全认证demo
11-09
在这个"Kerberos安全认证demo"中,我们可以看到多个组件,如Spark、Oozie、MapReduce(MR)、Kafka、Hive、HDFS和HBase,都已经被配置以支持Kerberos安全认证。下面将详细介绍这些组件如何与Kerberos集成以及它们在...
大数据:基于Docker离线部署2.7.4版本ambari及启用kerberos安全认证(物理机同理)
03-17
1.离线部署ambari 2.7.4及HDP大数据...3.开启kerberos权限认证服务,并提供相关Demo 4.支持HDFS、Spark、Yarn、MapReduce、Hive、Pig、 HBase、Zookeeper、Sqoop和Hcatalog等 5.很详细的文档,包括各种可能出现的Bug
Python通过kerberos安全认证操作kafka方式
09-16
本文将深入探讨如何在Python环境中使用Kerberos安全认证来操作Kafka。 首先,我们需要在运行Python的机器上安装Kerberos客户端。对于CentOS操作系统,可以通过`yum install krb5-workstation`命令安装。安装完成后...
hadoop java client_hadoop3 Java client客户端&kerberos认证
weixin_39618275的博客
02-15 197
hadoop集群升级hadoop3,并需要Kerberos认证hadoop3代码包做了合并,引用jar包如下:org.apache.hadoophadoop-hdfs3.1.1org.apache.hadoophadoop-common3.1.1org.apache.hadoophadoop-client3.1.1认证方法Configuration config = new Configurat...
kerberos简单认证操作
weixin_33768481的博客
04-27 1153
2019独角兽企业重金招聘Python工程师标准>>> ...
[内网渗透]Kerberos 认证
weixin_47224111的博客
12-30 2874
Kerberos 认证 简介 Kerberos诞生与上个世纪九十年代,被广泛用于各大操作系统和Hadoop生态系统中。 kerberos的作用 kertberos提供了一种单点登录(SSO)的方法,在内网里有很多服务器,提供一个第三方可信的认证服务器,供其他服务器使用,这样任何客户端就只需要一个密码就能登录每个服务器。 Kerberos的角色(简化) 认证服务器(AS),客户端(Client),普通服务器(Server),客户端和服务器在AS的帮助下完成相互认证,在Kerberos系统里,客户端和服务器都有
代码连接Kerberos认证的CDH
qq_42790479的博客
01-20 828
代码连接Kerberos认证的CDH 本章主要介绍通过编写java代码连接有Kerberos认证的CDH(HDFS、HBase、Hive、Kafka)等。编写代码时要检查principal和keytab是否匹配、krb5.conf是否正确。我的Kerberos如下: keytab : hadoop_node1.keytab principal : hadoop/cdh-node1@HADOOP....
关于kerberos认证24小时过期的web项目
张不帅
05-31 1750
文章目录 对于kerberos认证大数据集群,由于kerberos认证设置了缓存票据时间为24小时, 设置了定时任务,每次在24小时的时候重新认证并获取hbase连接 在重新获取连接的时候断开连接,此时线上的其他查询服务会在这一瞬间统一宕机 具体解决方案, try { UserGroupInformation.loginUserFromKeytab(userName,keyTabFile); long time = 24 * 60 * 60 * 1000;//24
.net java xml_java.net.MalformedURLException – 在通过StAX解析XML文件时
weixin_42410477的博客
02-25 289
我必须使用StAX解析XML文件.我抓住了一堆例外:javax.xml.stream.XMLStreamException: java.net.MalformedURLExceptionat com.sun.org.apache.xerces.internal.impl.XMLStreamReaderImpl.setInputSource(XMLStreamReaderImpl.java:217)...
kettle支持kerberos认证的hive集群
wangjunji34478的专栏
04-13 7886
Kettle对接指南 1.1 环境准备 1.1.1 Linux平台 安装操作系统 步骤 1安装CentOS6.5 Desktop。 步骤 1禁用防火墙,SELinux。 步骤 2添加本地主机名解析,使用vi /etc/hosts添加本地主机名解析。 162.1.115.89 kettle ----结束 步骤 1下载完整客户端,安装至目录“/opt/hadoopclient...
spark-sql 操作 hdfs文件,服务器有kerberos安全认证
06-28
如果您的服务器有kerberos安全认证,那么在使用spark-sql操作hdfs文件时,需要进行以下步骤: 1. 配置kerberos认证信息:在spark的配置文件中,需要配置kerberos认证信息,包括krb5.conf文件路径、keytab文件路径、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_44352020

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值