HDFSRPC安全认证Kerberos篇

已于 2024-04-09 09:43:49 修改
阅读量879 收藏 24
点赞数 18
分类专栏: HDFS参数解析 文章标签: 安全 hdfs rpc
于 2024-03-19 07:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfpigpig/article/details/136703140
版权

本文主要阐述HDFSRPC安全认证相关的实现。主要介绍Kerberos相关的实现。

写在前面

相关blog可以先看一下

https://segmentfault.com/a/1190000039085046?sort=newest

https://blog.csdn.net/qq_35995514/article/details/106348765

https://blog.csdn.net/S1124654/article/details/128791481

Rpc安全认证

Rpc安全认证使用的是sasl框架,sasl框架本身无认证相关的实现,认证实现使用的Kerberos。SASL: 在jdk中定义的一种通用的基于客户端和服务端的认证框架,GSSAPI是其实现之一。

GSSAPI: 在jdk中,作为对kerberos认证实现的一部分。

Kerberos: 一种基于中心认证服务器的中心化认证协议和框架。应用程序访问服务前需使用此框架进行登录认证,以在应用程序之间形成动态可控的受信。中心化登录服务器称为KDC。

Krb5LoginModule: 在jdk中,负责从KDC获取登录凭证,是kerberos认证实现的一部分。

SASL

简单认证与安全层(Simple Authentication And Security Layer)是一个在网络协议中用来认证和数据加密的框架。它把认证机制从程序中分离开,理论上使用SASL的程序协议都可以使用SASL所支持的全部认证机制(token认证就是其中的一种认证机制)。

认证机制可支持代理认证,这让一个用户可以承担另一个用户的认证。

SASL同样提供数据安全层,这提供了数据完整验证和数据加密,例如DIGEST_MD5提供了数据加密层。

SASL是一种challenge-response的协议,由服务端发送challenge到客户端,客户端基于challenge发送response,这种交互直到服务端被满足并且不再发布新的challenge。

challenge和对应的response都是任意长度的二进制数据。其大概流程如下所示:

1857_1.png

要注意一点sasl是一种框架,不涉及具体实现,通信时可以自己定义相关的包。

Hdfs中sasl相关实现

Negotiate:

client会发送一个saslMessage给server,其中saslstate为Negotiate,无其他信息。Server接收到Negotiate请求后,会返回一个Negotiate的saslMessage,其中包含sasl使用需要使用哪种协议,例如:

auths {
  method: "KERBEROS"
  mechanism: "GSSAPI"
  protocol: "root"
  serverId: "node17"
}

Initiate:

client接收到Server的Negotiate的saslMessage后,会根据相关的信息,初始化saslClient,并产生一个Token,发送一个saslstate为Initiate的saslMessage给server。Server接收到saslMessage以后,同样会初始化saslServer,然后evaluate token,生成新的token,返回一个saslstate为challenge的saslMessage给client。

Response-challenge:

client接收到Server的challenge的saslMessage后,会evaluate challenge token,产生一个新的token,然后发送一个saslstate为Response的saslMessage给server。。Server接收到saslMessage以后,然后evaluate token,生成新的token,如果server已经完成初始化,返回一个saslstate为success的saslMessage给client,反之则返回一个saslstate为challenge的saslMessage给client。Client接收如果为challenge的saslMessage则重复上述流程,反之如果接收到success则完成client的初始化。一般这个过程会经过两轮。

GSSAPI

在jdk中,作为对kerberos认证实现的一部分。

Kerberos

Hadoop 使用 Kerberos 作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。 Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。在较高的层面上,它有三个部分:

1)它知道的用户和服务(称为主体)及其各自的 Kerberos 密码的数据库

2)一个认证服务器(Authentication Server,简称 AS):验证Client端的身份(确定你是身份证上的本人),验证通过就会给一张票证授予票证(Ticket Granting Ticket,简称 TGT)给 Client。

3)一个票据授权服务器(Ticket Granting Server,简称 TGS):通过 TGT(AS 发送给 Client 的票)获取访问 Server 端的票(Server Ticket,简称 ST)。ST(Service Ticket)也有资料称为 TGS Ticket。

以平时坐火车举例:

1857_2.png

一个用户主要来自AS请求认证。AS 返回 使用用户主体 的 Kerberos密码加密 的 TGT ,该密码仅为用户主体和 AS 所知。用户主体使用其 Kerberos 密码在本地解密TGT,从那时起,直到ticket 到期,用户主体可以使用 TGT 从 TGS 获取服务票据。服务票证允许委托人访问服务。

Hdfs中的Kerberos

在sasl中似乎没有提到Kerberos,实际上saslclient、saslserver的初始化后需要通过Kerberos验证以后才能实现。具体流程如下:

Client:

Client使用的当前登录用户,需要使用kinit登录用户,然后代码中使用通用库登录,获取Subject。Subject有doas方法,可以使用此方法来初始化saslclient,已经使用saslclient.evaluateChallenge方法。

Server:

Server为服务类型,通常使用免密登录。需要单独的 Kerberos 账号及其 keytab 文件。有了这个以后,可以使用通用库登录,获取Subject。Subject有doas方法,可以使用此方法来初始化saslserver,已经使用saslserver.evaluateResponse方法。

为了更好的理解整个过程,附上Java代码简单实现

Java代码简单实现

SaslClient.java

public class SaslClientTest {
  private static Socket socket;

  public static void main(String[] args) throws UnknownHostException, IOException, LoginException, PrivilegedActionException {
    //kerberos login
    Configuration config = new Configuration() {
      @Override
      public AppConfigurationEntry[] getAppConfigurationEntry(String name) {
        ArrayList<AppConfigurationEntry> entries = new ArrayList<>();
        String loginModuleName = "com.sun.security.auth.module.Krb5LoginModule";
        final Map<String,String> options = new HashMap<>();
        LoginModuleControlFlag controlFlag = LoginModuleControlFlag.OPTIONAL;
        options.put("useTicketCache", "true");
        options.put("renewTGT", "true");
        options.put("doNotPrompt", "true");
        options.put("refreshKrb5Config", "true");
        AppConfigurationEntry kerberosEntry = new AppConfigurationEntry(loginModuleName, controlFlag, options);
        entries.add(kerberosEntry);
        return entries.toArray(new AppConfigurationEntry[0]);
      }
    };
    LoginContext login = new LoginContext("hadoop-kerberos", null, null, config);
    login.login();
    Subject subject = login.getSubject();
    System.out.println(subject.getPrincipals());
    
    Subject.doAs(subject, new PrivilegedExceptionAction<String>() {
      @Override
      public String run() throws Exception {
        String hostname = "localhost";
        int port = 19876;
        socket = new Socket(hostname, port);
        DataInputStream socketIn = new DataInputStream(socket.getInputStream());
        DataOutputStream socketOut = new DataOutputStream(socket.getOutputStream());
        System.out.println("Connected to server " + socket.getInetAddress());
        
        boolean done = false;
        SaslClient saslClient = null;
        byte[] responseToken;
        Packet requestPacket;
        Packet negotiatePacket = new Packet(SaslState.NEGOTIATE);
        negotiatePacket.write(socketOut);
        do {
          Packet responsePacket = Packet.read(socketIn);
          switch (responsePacket.getState()) {
            case NEGOTIATE:
              //create saslclient
              //auths { method: "KERBEROS" mechanism: "GSSAPI" protocol: "root" serverId: "node17" }
              String mechanism = "GSSAPI";
              String saslProtocol = "root";
              String saslServerName = "node17";
              String saslUser = null;
              CallbackHandler saslCallback = null;
              Map<String, String> saslProperties = new HashMap<String, String>();
              saslProperties.put("javax.security.sasl.qop", "auth");
              saslProperties.put("javax.security.sasl.server.authentication", "true");
              saslClient = Sasl.createSaslClient(new String[]{mechanism}, saslUser, saslProtocol, saslServerName, saslProperties, saslCallback);
              
              byte[] challengeToken = null;
              if (saslClient.hasInitialResponse()) {
                challengeToken = new byte[0];
              }
              responseToken = (challengeToken != null) ? saslClient.evaluateChallenge(challengeToken) : new byte[0];
              requestPacket = new Packet(SaslState.INITIATE, responseToken);
              requestPacket.write(socketOut);
              break;
            case CHALLENGE:
              if (saslClient == null) {
                // should probably instantiate a client to allow a server to
                // demand a specific negotiation
                throw new SaslException("Server sent unsolicited challenge");
              }
              responseToken = saslEvaluateToken(responsePacket, false, saslClient);
              requestPacket = new Packet(SaslState.RESPONSE, responseToken);
              requestPacket.write(socketOut);
              break;
            case SUCCESS:
              if (saslClient == null) {
                throw new SaslException("Server sent unsolicited success");
              } else {
                saslEvaluateToken(responsePacket, true, saslClient);
              }
              done = true;
              break;
            default:
              throw new SaslException("error state");
          }
        }while (!done);
        socket.close();
        return null;
      }
    });
  }
  
  private static byte[] saslEvaluateToken(Packet response, boolean serverIsDone, SaslClient saslClient) throws SaslException {
    byte[] saslToken = null;
    if (!serverIsDone && response.hasToken()) {
      saslToken = response.getToken();
      saslToken = saslClient.evaluateChallenge(saslToken);
    } else if (!serverIsDone) {
      // the server may only omit a token when it's done
      throw new SaslException("Server challenge contains no token");
    }
    if (serverIsDone) {
      // server tried to report success before our client completed
      if (!saslClient.isComplete()) {
        throw new SaslException("Client is out of sync with server");
      }
      // a client cannot generate a response to a success message
      if (saslToken != null) {
        throw new SaslException("Client generated spurious response");        
      }
    }
    return saslToken;
  }
}

Saslserver.java

public class SaslServerTest {
  private static ServerSocket ss;

  public static void main(String[] args) throws IOException, LoginException, PrivilegedActionException {
    int port = 19876;
    ss = new ServerSocket(port);
    //login kerberos
    Configuration config = new Configuration() {
      @Override
      public AppConfigurationEntry[] getAppConfigurationEntry(String name) {
        ArrayList<AppConfigurationEntry> entries = new ArrayList<>();
        String loginModuleName = "com.sun.security.auth.module.Krb5LoginModule";
        final Map<String,String> options = new HashMap<>();
        LoginModuleControlFlag controlFlag = LoginModuleControlFlag.REQUIRED;
        options.put("principal", "root/node17@LOONGOOP.COM");
        options.put("useKeyTab", "true");
        options.put("keyTab", "/var/kerberos/krb5kdc/nn.keytab");
        options.put("storeKey", "true");
        options.put("doNotPrompt", "true");
        options.put("refreshKrb5Config", "true");
        AppConfigurationEntry kerberosEntry = new AppConfigurationEntry(loginModuleName, controlFlag, options);
        entries.add(kerberosEntry);
        return entries.toArray(new AppConfigurationEntry[0]);
      }
    };
    LoginContext  login = new LoginContext("hadoop-kerberos", null, null, config);
    login.login();
    Subject subject = login.getSubject();
    System.out.println(subject.getPrincipals());
    while(true) {
      Subject.doAs(subject, new PrivilegedExceptionAction<String>() {
  
        @Override
        public String run() throws Exception {
          Socket socket = ss.accept();
          DataInputStream socketIn = new DataInputStream(socket.getInputStream());
          DataOutputStream socketOut = new DataOutputStream(socket.getOutputStream());
          System.out.println("Got connection from client " + socket.getInetAddress());
          boolean done = false;
          Packet responsePacket;
          SaslServer saslServer = null;
          do {
            Packet requestPacket = Packet.read(socketIn);
            switch(requestPacket.getState()) {
              case NEGOTIATE:
                responsePacket = new Packet(SaslState.NEGOTIATE);
                requestPacket.write(socketOut);
                break;
              case INITIATE:
                saslServer = Subject.doAs(subject, new PrivilegedExceptionAction<SaslServer>() {
                  @Override
                  public SaslServer run() throws Exception {
                    //auths { method: "KERBEROS" mechanism: "GSSAPI" protocol: "root" serverId: "node17" }
                    String mechanism = "GSSAPI";
                    String protocol = "root";
                    String serverId = "node17";
                    final CallbackHandler callback = new SaslGssCallbackHandler();
                    return FastSaslServerFactory.getInstance().createSaslServer(mechanism, protocol, serverId, null, callback);
                  }
                });
                
                responsePacket = processSaslToken(requestPacket, saslServer);
                responsePacket.write(socketOut);
                break;
              case RESPONSE:
                responsePacket = processSaslToken(requestPacket, saslServer);
                responsePacket.write(socketOut);
                if(saslServer.isComplete()) {
                  done = true;
                }
                break;
              default:
                throw new SaslException("error sasl state");
            }
          } while(!done);  
          return null;
        }
      });
    }
  }
  
  private static Packet processSaslToken(Packet requestPacket, SaslServer saslServer) throws SaslException {
    if (!requestPacket.hasToken()) {
      throw new SaslException("Client did not send a token");
    }
    if (saslServer == null) {
      throw new SaslException("sasl server is null");
    }
    byte[] saslToken = requestPacket.getToken();
    saslToken = saslServer.evaluateResponse(saslToken);
    return new Packet(saslServer.isComplete() ? SaslState.SUCCESS : SaslState.CHALLENGE, saslToken);
  }
  
  public static class SaslGssCallbackHandler implements CallbackHandler {
    @Override
    public void handle(Callback[] callbacks) throws UnsupportedCallbackException {
      AuthorizeCallback ac = null;
      for (Callback callback : callbacks) {
        if (callback instanceof AuthorizeCallback) {
          ac = (AuthorizeCallback) callback;
        } else {
          throw new UnsupportedCallbackException(callback, "Unrecognized SASL GSSAPI Callback");
        }
      }
      if (ac != null) {
        String authid = ac.getAuthenticationID();
        String authzid = ac.getAuthorizationID();
        if (authid.equals(authzid)) {
          ac.setAuthorized(true);
        } else {
          ac.setAuthorized(false);
        }
        if (ac.isAuthorized()) {
          ac.setAuthorizedID(authzid);
        }
      }
    }
  }
}
zfpigpig
关注
  • 18
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Hadoop 配置 Kerberos 认证_hadoop kerberos认证(1),2024年最新真香
2401_84164617的博客
04-15 971
环境变量相关配置非必要,如果 /etc/profile 中配置了,可以在 hadoop 配置文件中省略。ps:初始化 namenode 后可以直接 sbin/start-all.sh。(img-7rdljSse-1713128697943)]配置ssl-server.xml和ssl-client.xml。编辑 /etc/hosts 添加 kdc 和对应 ip 的映射。2、可能是 没有在 hosts 中配置 kdc。
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoopkerberos的实践部署》,主要是为了对 Hadoop认证机制和 Kerberos 认证协议做个简单
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase
最新发布
m0_60607536的博客
04-05 1282
以上可以先在node3节点进行配置,然后分发到node4~node5节点上。如下:在node3~node5各个节点执行如下命令,启动zookeeper。#启动zookeeper#检查zookeeper状态HBase也支持Kerberos安全认证,经过测试,HBase2.5.x版本在经过Kerberos认证后与Hadoop通信认证有异常,具体报错如下:我们这里使用的Hadoop版本为3.3.4,HBase版本选择2.2.6版本。
HDFS安全身份验证
互联网知识分享
07-23 957
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 167
没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
KerberOS Hadoop 认证安装配置
Jerry的博客
01-26 3077
1. 关闭 selinux vim /etc/sysconfig/selinux 2. 安装 yum 源配置参考 https://blog.csdn.net/Jerry_991/article/details/118910505 3. 安装 kerberos 的 server 端(一般找一台单独的机器) yum install -y krb5-ibs krb5-server krb5-workstation (查看 yum list | grep krb 中是否有安装软件) ...
kerberos安全认证
12-29
下面我们将深入探讨Kerberos的原理、工作流程以及如何在这些组件中实现安全认证。 **Kerberos基本原理** Kerberos基于密钥分发中心(KDC)的概念,它分为两个部分:Authentication Server (AS) 和 Ticket Granting...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kerberos安全认证demo
11-09
在这个"Kerberos安全认证demo"中,我们可以看到多个组件,如Spark、Oozie、MapReduce(MR)、Kafka、Hive、HDFS和HBase,都已经被配置以支持Kerberos安全认证。下面将详细介绍这些组件如何与Kerberos集成以及它们在...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Python通过kerberos安全认证操作kafka方式
12-17
如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.conf和kafka.keytab和jaas.conf拷贝到客户端机器...
大数据技术之HadoopHDFS)概述、Shell操作、API操作、读写流程、工作机制
huxili2020的博客
06-16 1410
文章目录1 HDFS 概述1.1 HDFS 产生背景及定义1.2 HDFS 优缺点1.3 HDFS 组成架构1.4 HDFS 文件块大小(面试重点)2 HDFS 的 Shell操作(开发重点)2.1 基本语法2.2 命令大全2.3 常用命令实操3 HDFS 的 API操作3.1 客户端环境准备1.3.6 推荐系统框架图2 Hadoop 运行环境搭建(开发重点)2.1 模板虚拟机环境准备2.2 克隆虚拟机2.3 在 hadoop102 安装 JDK2.4 在 hadoop102 安装 Hadoop2.5 H.
数据仓库搭建_hdfs,ACL权限认证(可以精确到个人的权限)
weixin_48370579的博客
08-04 930
1、数据仓库搭建 数据仓库搭建 前提条件,Hadoop,hive 数据仓库分层作用 1、控制数据访问权限 2、减少重复计算,减少重复开发 3、为了更好的管理数据 4、让表使用者更方便使用数据 数据规范 1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的, 2、命令规范, 库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录 表命名规范,每个定义...
HDFS block access token认证机制
走在前往架构师的路上
12-28 1906
文章目录前言Block access tokenHDFS block access token的原理 前言 在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实
Hadoop学习-6-HDFS权限管理
DMF363的博客
12-08 2022
HDFS权限管理
Hadoop安全认证
m0_52931616的博客
09-05 2784
hadoop安全认证
Hdfs的一系列坑坑洼洼,认证认证,还是***认证
qq_42667939的博客
12-28 1438
这是一经验(教训)总结,以此纪念这段时间来由于hdfs认证踩的大大小小的坑 首先,来个开胃菜 文件名错误 这个问题,属于是吃一堑就是不长智了。 虽然这是一个小小的粗心bug,但绝不能因此忽略其严重性 我的第一个Unable to obtain password from user则是来源于此 Bug: 当在Linux服务器中运行测试程序时报错:Unable to obtain password from user 原因分析: 初步判断是配置文件问题,经过排查配置文件未发现问题 阅读CEA项目组相关代码
ASP-NET中认证安全特征评述.docx
11-18
窗口认证,也称为NTLM或Kerberos认证,主要用于Windows域环境。在这种模式下,用户在访问网络资源时,操作系统会自动处理认证过程,无需用户手动输入凭据。这种方式在企业内部网环境中非常常见,因为它能够利用已有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zfpigpig

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值