业界比较常见的大数据安全方案主要有三种:
Kerberos(业界比较常用的方案)。
Apache Sentry(Cloudera选用的方案,cdh版本中集成,cdp中已经换成了Ranger)。
Apache Ranger(Hortonworks选用的方案,hdp发行版中集成)。
一、Kerberos
Kerberos是一种基于对称密钥的身份认证协议,它作为一个独立的第三方的身份认证服务,可以为其它服务提供身份认证功能,且支持SSO(
即客户端身份认证后,可以访问多个服务如
HBase/HDFS
等
)
。
KDC:
Kerberos
的服务端程序,用于验证各个模块
Client :
需要访问服务的用户,
KDC
和
Service
会对用户的身份进行认证
Service:
即集成了Kerberos的服务,如HDFS/YARN/HBase等
Kerberos协议过程主要有三个阶段,第一个阶段
Client
向
KDC
申请
TGT
(
Ticket Granting Ticket
,票据认
购权
),第二阶段
Client
通过获得的
TGT
向
KDC
申请用于访问
Service
的
Ticket,
第三个阶段是
Client
用返回的Ticket
访问
Service
。
|