Hadoop Security Authentication Terminology --Kerberos

最新推荐文章于 2023-07-23 08:28:43 发布
最新推荐文章于 2023-07-23 08:28:43 发布
阅读量1.5k 收藏
点赞数
分类专栏: 分布式数据存储 Hadoop 文章标签: Hadoop Kerberos Kinit Hadoop Authenticatio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaelzhou224/article/details/9377933
版权

Hadoop Security Authentication Terminology --Kerberos

  1. What is kinit?

Kinit -  obtain and cache Kerberos ticket-grantingticket

If you use the kinit commandto get your tickets, make sure you use the kdestroy command to destroy yourtickets before you end your login session. You should put the kdestory commandin your .logout file so that your tickets will be destroyed automatically whenyou logout.

  1. What is Kerberos?

在Hadoop 1.0.0或者CDH3版本之前,hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的,值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop集群上,而已的提交作业,修改Job Tracker状态,篡改HDFS上的数据,伪装成NameNode或者TaskTracker接受任务等。尽管在版本0.16以后,HDFS增加了文件和目录的权限,但是并没有强认证的保障,这些权限只能对偶然的数据丢失起保护作用。恶意的用户可以轻易的伪装成其他用户来篡改权限,致使权限设置形同虚设,不能够对Hadoop集群起到安全保障。后来加入了Kerberos认证机制,使得集群中的节点是信赖的。Kerberos可以将认证的密钥在集群部署时事先放到可靠的节点上。集群运行时,集群内的节点使用密钥得到认证。只有被认证过节点才能正常使用。企图冒充的节点由于没有事先得到的密钥信息,无法与集群内部的节点通信。防止了恶意的使用或篡改Hadoop集群的问题,确保了集群的可靠安全。

Kerberos事先的是机器级别的安全认证,也就是前面提到的服务到服务的认证问题。事先对集群中确定的机器由管理员手动添加到kerberos数据库中,在KDC上分别产生主机与各个节点的keytab(包括了host和对应节点的名字,还有他们之间的密钥),并将这些keytab分发到对应的节点上。通过这些keytab文件,节点可以从KDC上获得与目标节点通信的密钥,进而被目标节点所认证,提供相应的服务,防止了被冒充的可能性。

Princal(安全个体):被认证的个体,有一个名字和口令。

KDC(key distribution center):是一个网络服务,提供ticket和临时会话密钥。

Ticket:一个记录,客户用它来向服务器证明自己的身份,包括客户标识,会话密钥,时间戳。

AS(Authentication Server):认证服务器。

TSG(Ticket Granting Server):许可证服务器。

Kerberos可以分为两个部分:

Client向KDC发送自己的身份信息,KDC从TicketGranting Service得到TGT(ticket-granting ticket),并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client.此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT。此过程避免了Client直接向KDC发送密码,以求通过验证的不安全方式。

Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。


Kerberos协议认证过程:

(1). Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC,KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。然后KDC将这个Session Key和用户名,用户地址(IP),服务名,有效期,时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service。

(2). KDC将前面的Ticket转发给Client。由于这个Ticket是要给Service的,不能让Client看到,所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个密钥,KDC用Client与它之间的密钥将SessionKey加密随加密的Ticket一起返回给Client.

(3). 为了完成Ticket的传递,Client将刚才收到的Ticket转发到Service。由于Client不知道KDC与Service之间的密钥,所以它无法修改Ticket中的信息。同时Client将收到的Session Key解密出来,然后将自己的用户名,用户地址(IP)打包成Authenticator用SessionKey加密也发送给Service。

(4). Service收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来,从而获得Session Key和用户名,用户地址(IP),服务名,有效期。然后再用Session Key 将Authenticator将解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较从而验证Client的身份。

(5). 如果Service有返回结果,将其返回给Client。


                                Hadoop集群内部使用Kerberos进行认证

 

 

                                               具体的执行过程


zmycoco2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hadoop-common-2.2.0-bin-master.zip
04-30
hadoop-common-2.2.0-bin-master(包含windows端开发Hadoop和Spark需要的winutils.exe),Windows下IDEA开发Hadoop和Spark程序会报错,原因是因为如果本机操作系统是windows,在程序中使用了hadoop相关的东西,比如写入...
10.4 hadoop安全性kerberos安全验证和委托令牌
baochunlei1的博客
03-01 977
1.1 安全性 HDFS的文件许可模块可以组织程序漏洞而毁坏文件系统,也能阻止运行hadoop fs –rmr删除文件指令,但是无法组织恶意的用户假冒root身份来访问或者删除数据。需要使用Kerberos实现用户认证。 1.1.1 KerberosHadoop (1)客户端请求认证的步骤 1) 认证。客户端向认证服务器获取含时间票据授权票据(T...
Kerberos authentication
hacker_zhb的博客
05-19 649
转自:http://www.sunchangming.com/blog/?p=4137   JAAS是Java 认证和授权服务(Java Authentication and Authorization Service)的缩写,是PAM框架的Java实现。 javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。 ...
Hadoop Security三板斧
走在前往架构师的路上
03-08 1518
文章目录前言Hadoop Security要解决的问题Hadoop Security三板斧参考资料 前言 在企业大规模量级的Hadoop集群中,数据的安全性是十分重要的,尤其当集群存储的是一些敏感数据的时候。Hadoop社区在早期release的版本中,并没有完善好其Security部分的功能。但是随着Hadoop系统的不断完善成熟,Security的功能也在不断的完善。那么问题来了,HadoopSecurity到底指的是什么呢?本文笔者来简单聊聊Hadoop Security的三板斧,了解了这三板斧的
HDFS的安全身份验证
最新发布
互联网知识分享
07-23 778
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
Hadoop(二)---Hadoop集群的安全设置
狮锅艺
12-30 8103
配置hadoop的安全模式
hudi-hadoop-mr-bundle-0.11.0.jar
06-28
hudi-hadoop-mr-bundle-0.11.0.jar 配合文档
hadoop-eclipse-plugin-2.9.2
12-20
适用于Eclipse IDE(4.10.0)版本+jdk1.8版本,这个真的跟eclipse本身有关,我自己编译打的包,本来用在eclipse mars2上,结果一直不显示,没办法,只能重新下载eclipse然后放到dropins目录下就显示了
Hadoop下载 hadoop-3.3.3.tar.gz
07-06
Hadoop是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进 Hadoop是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不...
hadoop-eclipse-plugin-1.1.2
09-03
eclipse的hadoop开发插件,将此jar包拷贝到eclipse的插件目录中重启eclipse即可
Hadoop 2.6.5 API CHM帮助手册
11-24
根据Hadoop 2.6.5 官方API HTML文档转换成的CHM帮助手册
【Spark】六、org.apache.hadoop.security.AccessControlException
01-09
Exception in thread main org.apache.hadoop.security.AccessControlException: Permission denied: user=L.MOON, access=WRITE, inode=/user/lsy/result1/_temporary/0:lsy:supergroup:drwxr-xr-x Caused by: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException): Permission
dolphinscheduler2.0.3搭建+Kerberos+hadoop结合
h952520296的博客
01-29 2935
dolphinscheduler官网只是给出了搭建方式 具体使用中需要和hdfs结合的话需要配置更多参数 如果配置了数据目录不会自动创建,记得自己手动创建一下 例子 data.basedir.path=/data/dsdata 搭建完成之后的配置存放在 conf下的 common.properties 中 初步搭建完成之后可以修改这里的配置来进行调整 跟hadoop有关需要调整的配置有下面几个 不配置kerberos的话只需要这几个 # resource storage type: HDF
Hadoop 常见错误及解决办法
泰格数据
03-04 658
修改hdfs-core.xml 增加: dfs.permissions false If "true", enable permission checking in HDFS. If "false", permission checking is turned off, but all other behavior is unchanged. Switching from on
Hadoop安全认证(2)
行人事,知天命
08-02 9738
凭证过期处理策略 在最早的 Security features for Hadoop 设计中提出这样的假设: A Hadoop job will run no longer than 7 days (configurable) on a MapReduce cluster or accessing HDFS from the job will fail.
HadoopHadoop认证代码分析
小哲的博客
11-26 964
Hadoop认证代码分析 Hadoop作为分布式系统,服务分布于多台服务器之间,提供多用户的访问机制,却有着极其简单的认证实现逻辑。 JAAS(Java Authentication Authorization Service)完整的提供了一个认证鉴权的框架,在Hadoop这个看似庞大的架构当中,借助这一体系,在一个单独的Java类中,实现了认证的绝大部分逻辑。 本文主要讲述Hadoop中的认证实...
CDH集群关闭Kerberos验证
sharkdoodoo
04-24 1370
说明:在CDH开启Kerberos(参见我之前写的CDH集群开启Kerberos安全认证 )之后可能会由于某些情况再次关闭,在关闭的需要注意一些地方,具体如下 HBase关闭: 修改hbase.security.authentication为simple 取消勾选hbase.security.authorization HDFS关闭和修改配置: 修改hadoop.security...
dolphinscheduler3.0生产环境搭建+hadoop+kerberos
h952520296的博客
07-20 2496
然后分发到alert-serverapi-servermaster-serverworker-server的conf下直接覆盖原来的就好了,这些配置文件都是一样的。记得把包分发到所有节点的所有服务,alert-serverapi-servermaster-serverworker-server命令只是换换位置,不再赘述。搭完之后应该是访问不了的,因为部署脚本有bug,没有分发mysql包到api-server上。完了就可以stop-allstart-all。...............
hadoop distcp -skipcrccheck -update 解释
07-11
hadoop distcp -skipcrccheck -update 是一个Hadoop分布式复制命令。它用于将一个Hadoop集群中的文件或目录复制到另一个Hadoop集群中,并具有以下两个选项: 1. -skipcrccheck:这个选项用于跳过CRC校验。CRC(循环冗余校验)是一种用于检测数据传输中的错误的校验机制。在默认情况下,distcp会进行CRC校验以确保数据的准确性。通过使用-skipcrccheck选项,可以跳过CRC校验,从而加快复制过程。 2. -update:这个选项用于仅复制目标集群中不存在或较旧的文件。如果源和目标集群中的文件都存在,并且目标集群中的文件比源集群中的文件新,那么distcp将不会复制这些文件。这可以帮助节省带宽和时间,只复制需要更新的文件。 综上所述,hadoop distcp -skipcrccheck -update命令用于在Hadoop集群之间复制文件或目录,并且可以选择跳过CRC校验和仅复制需要更新的文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值