HDFS安全认证参数详解

于 2024-04-18 07:30:00 发布
阅读量782 收藏 15
点赞数 15
分类专栏: HDFS参数解析 文章标签: hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfpigpig/article/details/137872283
版权

本文主要分析安全认证参数,包括rpc和数据传输安全相关的参数。

写在前面

请先阅读HDFSRPC协议详解HDFSRPC安全认证Kerberos篇HDFSRPC安全认证Token篇HDFSRPC安全认证Token篇2,对整体的框架有一定的了解。

参数列表

参数默认值描述
hadoop.security.authenticationsimplesimple or kerberos。是否使用安全认证。
dfs.namenode.kerberos.principalnn/_HOST@REALM.TLD。namenode kerberos票据。_HOST会根据服务所在主机自动获取主机名。
dfs.namenode.keytab.filenamenode免密登录的keytab。
dfs.datanode.kerberos.principaldn/_HOST@REALM.TLD。datanode kerberos票据。_HOST会根据服务所在主机自动获取主机名。
dfs.datanode.keytab.filedatanode免密登录的keytab。
hadoop.rpc.protectionauthenticationauthentication、integrity、privacy。rpc sasl qop级别,分别对应auth,auth-int和auth-conf。
dfs.data.transfer.protection值为authentication, integrity和privacy。读写块数据时数据安全等级,分别对应auth,auth-int和auth-conf。
dfs.encrypt.data.transferfalse是否开启datanode数据传输加密

hadoop.security.authentication

默认值simple。值有simple、kerberos两种。

dfs.[namenode|datanode].kerberos.principal

namenode、datanode免密登录的Kerberos账号。_HOST建议不更改,会自动获取本机ip。

dfs.[namenode|datanode].keytab.file

namenode、datanode免密登录的keytab。

Sasl Qop

SASL QoP 可配置的具体值如下(适用于 hadoop.rpc.protection/dfs.data.transfer.protection):

  1. authentication : authentication only;
  2. integrity : integrity check in addition to authentication;
  3. privacy : data encryption in addition to integrity.

从字面其实很难理解选项,其实从一个连接角度来理解比较简单。

  1. 验证连接。验证完毕以后后续所有数据不验证。
  2. 验证连接。验证完毕以后后续所有数据都会通过sasl框架加解密。
  3. 整个连接的数据都会通过算法加解密。

hadoop.rpc.protection

rpc sasl qop安全等级,默认为authentication。可以设置成authentication、integrity、privacy。由于namenode rpc没有整体的加解密,所以本质上integrity和privacy是一样的。配置integrity或privacy,验证通过以后,所有的rpc数据都会加解密。如果考虑性能的话,建议配置成authentication即可。

dfs.data.transfer.protection

可以设置成authentication、integrity、privacy。默认值无,默认是不验证的。值得注意的是如果开启验证,连接本质会去验证blockToken。BlockToken是拿块信息时候一起返回的。考虑性能可不设置。

dfs.encrypt.data.transfer

是否开启传输加密,默认为false。该参数优先级高于 dfs.data.transfer.protection。这个参数比较复杂,暂时不展开。

喜欢就点赞、收藏一下~

zfpigpig
关注
  • 15
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hadoop的HDFS文件系统
qq_44715376的博客
05-18 830
HDFS概述,HDFS特点,HDFS常见配置,HDFS宕机处理
HDFS内部的认证机制
走在前往架构师的路上
06-05 1万+
前言 数据的安全性是一直被大家所重视的.对于一个存有大规模数据量的成熟企业来说,如何做到数据不丢失,不损坏,不窃取就显得格外重要了.而HDFS恰恰满足了”海量数据规模”的特点,所以如果我们用HDFS存储大量的非结构化的数据,我们如何保证其中数据的安全性呢?在之前的文章中,有提到过一个”Encryption Zone”数据加密空间的概念.Encryption Zone可以保证用户在指定的加密空
HDFS安全身份验证
互联网知识分享
07-23 970
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
HDFS_副本和认证
Regan_Hoo的博客
11-20 357
一、 三副本策略 三副本策略的含义1)如果写请求方所在机器是其中一个DataNode,则直接存放在本地,否则随机在集群中选择一个DataNode2)第二个副本存放在不同于第一个副本所在的机架3)第三个副本存放于第二个副本所在的机架,但是属于不同的节点 三副本策略的使用需要开启机架感知功能,才能正常使用副本放置策略:<name>net.topology.script.file.name</name>
hdfs的文件权限验证
weixin_44704605的博客
10-12 1317
hdfs的文件权限机制与linux系统的文件权限机制类似 r:read w:write x:execute 权限x对于文件表示忽略,对于文件夹表示是否有权限访问其内容 如果linux系统用户zhangsan使用Hadoop命令创建一个文件,那么这个文件在HDFS当中的owner就是zhangsan HDFS文件权限的目的,防止好人做错事,而不是阻止坏人做坏事。HDFS相信你告诉我你是谁,你就是谁 ...
数据仓库搭建_hdfs,ACL权限认证(可以精确到个人的权限)
weixin_48370579的博客
08-04 935
1、数据仓库搭建 数据仓库搭建 前提条件,Hadoop,hive 数据仓库分层作用 1、控制数据访问权限 2、减少重复计算,减少重复开发 3、为了更好的管理数据 4、让表使用者更方便使用数据 数据规范 1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的, 2、命令规范, 库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录 表命名规范,每个定义...
java操作Hadoop源码之HDFS Java API操作-上传文件
01-17
如果HDFS集群启用了安全认证(如Kerberos),还需要配置安全上下文,进行身份验证。这通常涉及到创建`UserGroupInformation`对象,并进行Kerberos票证的获取或缓存。 总之,通过Hadoop的HDFS Java API,我们可以...
apache_hdfs_broker.tgz
02-04
Apache HDFS Broker详解 在大数据处理领域,Apache HDFS(Hadoop Distributed File System)是分布式存储的核心组件,它为大规模数据处理提供了可靠的、可扩展的存储解决方案。`apache_hdfs_broker`可能是一个针对...
test_hdfs:高清阅读
05-07
《Hadoop Java API在非Kerberos环境下的HDFS操作详解》 在大数据处理领域,Hadoop是一个不可或缺的工具,其分布式文件系统(HDFS)为海量数据存储提供了可靠的解决方案。本文将深入探讨如何利用Hadoop Java API在不...
loadFeature2redis:从hdfs加载功能到redis
05-09
2. **配置文件**:可能包含HDFS和Redis的连接参数,如服务器地址、端口、认证信息等。 3. **依赖管理**:如Maven或Gradle的配置文件,定义了项目所依赖的库,如Hadoop和Redis客户端库。 4. **测试脚本**:用于验证...
hive参数配置说明大全
11-02
在Hive中,参数配置起着非常重要的作用,它可以影响Hive的性能、安全性和执行效率。本文将对Hive的参数配置进行详细的解释,以便更好地使用Hive。 1. hive.exec.mode.local.auto 该参数决定Hive是否应该自动地根据...
Hdfs的一系列坑坑洼洼,认证认证,还是***认证
qq_42667939的博客
12-28 1438
这是一篇经验(教训)总结,以此纪念这段时间来由于hdfs认证踩的大大小小的坑 首先,来个开胃菜 文件名错误 这个问题,属于是吃一堑就是不长智了。 虽然这是一个小小的粗心bug,但绝不能因此忽略其严重性 我的第一个Unable to obtain password from user则是来源于此 Bug: 当在Linux服务器中运行测试程序时报错:Unable to obtain password from user 原因分析: 初步判断是配置文件问题,经过排查配置文件未发现问题 阅读CEA项目组相关代码
一篇文章搞懂 HDFS 的 Kerberos 认证
热门推荐
Shockang的博客
06-10 2万+
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 Kerberos 认证 Kerberos 是一种网络认证协议,它使用加密来提供高度安全认证机制。 这种认证机制由于具备以下功能而大受欢迎。 相互认证:在进行会话之前,客户端和服务器可以进行相互认证。 单点登录:一旦登录,令牌(token)的有效时间就确定了。令牌有效性的持续时间决定了会话的最长时间。
HDFS block access token认证机制
走在前往架构师的路上
12-28 1910
文章目录前言Block access tokenHDFS block access token的原理 前言 在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实
Hadoop安全模式+JAAS原理及实现
tian的博客
07-05 923
1. Authentication kerberos 2. Proxy user 3. Secure DataNode Because the DataNode data transfer protocol does not use the Hadoop RPC framework, DataNodes must authenticate themselves using...
HIVE_DATAX取数供数问题记录
悢七的CSDN博客
05-11 646
Hadoop本身的用户和组的关系,都是同步Linux系统中的,但是HDFS和Linux的超级用户组又有一点差别,HDFS中的超级用户组是supergroup,但是Linux中默认是没有supergoup这个组,这个时候只需要在Linux中增加supergroup这个组,然后将要在HDFS中加入到supergroup中的用户加到这个组中,再同步HDFS用户和组即可。解决办法:在hive的配置文件hive-site.xml中开启hiveserver2服务的高可用,即掉线了会马上再开启一个,配置如下。
Hadoop(2.7.3)安全模式-hadoop kerberos官方配置详解
m1213642578的专栏
09-06 1万+
这篇文档描述了如何为Hadoop在安全模式下配置认证。当Hadoop被配置运行在安全模式下时,每个Hadoop服务和每个用户都必须被Kerberos认证。正向方向的主机去查找所有服务的主机,必须被正确地配置来相互认证
HDFSDATANODE数据传输详解
最新发布
行路中
03-17 1908
本文主要阐述datanode中一个socket连接接收字节流的构成,帮助datanode的接收与处理数据。注意hadoop版本为3.1.1。
hdfs安全模式练习题
03-13
HDFS(Hadoop Distributed File System)是Apache Hadoop生态系统中的一部分,它是一个分布式文件系统,用于存储和处理大规模数据集。HDFS安全模式是HDFS的一种特殊模式,用于确保数据的安全性和可靠性。 在HDFS安全模式下,主要有以下几个练习题: 1. 什么是HDFS安全模式? HDFS安全模式是HDFS的一种运行模式,它提供了额外的安全性和可靠性措施,以确保数据的完整性和保密性。在安全模式下,只有经过身份验证的用户才能访问和修改数据。 2. HDFS安全模式的主要特点有哪些? HDFS安全模式的主要特点包括: - 访问控制:只有经过身份验证的用户才能访问和修改数据。 - 数据加密:可以对数据进行加密,确保数据的保密性。 - 完整性检查:可以对数据进行完整性检查,以确保数据没有被篡改。 - 安全审计:可以记录用户对数据的访问和修改操作,以便进行安全审计。 3. 如何启用HDFS安全模式? 要启用HDFS安全模式,需要进行以下步骤: - 配置Kerberos认证:Kerberos是一种网络身份验证协议,用于验证用户的身份。需要配置Kerberos认证来实现用户身份验证。 - 配置HDFS安全相关参数:需要在HDFS配置文件中设置相关参数,如启用安全模式、指定Kerberos服务器等。 - 生成和分发安全凭证:需要生成和分发Kerberos凭证,以便用户进行身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zfpigpig

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值