Kerberos的认证原理
什么是Kerberos
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证,软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统
概念
1)KDC:密钥分发中心,负责管理发放票据,记录授权
2)Realm:Kerberos管理领域的标识
3)principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl的形式为:主名称/实例名@领域名。
4)主名称:主名称可以是用户名或服务名,表示是用于提供各种网络服务(如hdfs,yarn,hive)的主体。
5)实例名:实例名简单理解为主机名
Kerberos可以用来做什么
Kerberos是Hadoop集群安全机制的最基础的部分,Kerberos协议是提供用户认证的协议,主要实现有MIT Kerberos, ApacheDs, Heimdal, Kerby以及Microsoft Active Directory.
所以这里Kerberos解决的问题是:大数据集群安全 用户认证
类比对接到现实生活中,解决的一个关键且需要消化的问题是“如何证明你是你”。日常生活中,我们可能是掏出公安局办理的身份证,就很简单解决这个问题。如果身份证丢失&