Hadoop web页面的授权设定--转载

最新推荐文章于 2024-04-22 22:40:51 发布
最新推荐文章于 2024-04-22 22:40:51 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: hadoop
原文链接:https://www.iteblog.com/archives/988.html
版权

blog1

一、相关概念

  在默认情况下,Hadoop相关的WEB页面(JobTracker, NameNode, TaskTrackers and DataNodes)是不需要什么权限验证就可以直接进入的,谁都可以查看到当前集群上有哪些作业在运行,这对安全来说是很不合理的。我们应该限定用户来访问Hadoop相关的WEB页面,只有授权的用户才能看到自己授权的作业等信息,而不应该看到他不该看到的。其实Hadoop提供了简单的web页面的授权设定。
  和Hadoop的RPC授权一样,Hadoop相关的WEB页面也可以通过配置Kerberos利用HTTP SPNEGO协议来进行相应的授权控制,HTTP SPNEGO协议是支持Firefox和Internet Explorer浏览器。不过Hadoop WEB页面也是支持Hadoop的Pseudo/Simple授权控制,如果相应的授权开启了,用户需要在查看某个页面的时候,需要在URL的后面带上一个查询参数,如下:

http://localhost:50030/jobtracker.jsp?user.name=babu

  这样,jobtracker.jsp中将会获取到user.name参数的值,从而达到简单的授权控制。如果需要达到比较好的授权机制,用户可以自己写个Hadoop WEB页面授权的插件(比如我们可以实现自己的AuthenticatorHandler,可以参考Hadoop自带的Hadoop-auth.jar工具包)。
  

二、如何配置

  上面说了Hadoop支持对相关的WEB页面进行简单的授权,那么如何来设定呢?下面就来进行说明。
  下面的所有配置都是在$HADOOP_HOME/etc/hadoop/core-site.xml里面进行设定,设定好后,需要将core-site.xml同步到集群中的所有机器。
  1、hadoop.http.filter.initializers的值设定为org.apache.hadoop.security.AuthenticationFilterInitializer,它的默认值如下:

<property>

  <name>hadoop.http.filter.initializers</name>

  <value>org.apache.hadoop.http.lib.StaticUserWebFilter</value>

  <description>A comma separated list of class names. Each class in the list

  must extend org.apache.hadoop.http.FilterInitializer. The corresponding

  Filter will be initialized. Then, the Filter will be applied to all user

  facing jsp and servlet web pages.  The ordering of the list defines the

  ordering of the filters.</description>

</property>

  2、设定hadoop.http.authentication.type的值,这个属性的值支持simple、kerberos、#AUTHENTICATION_HANDLER_CLASSNAME#;默认配置是simple。

<property>

  <name>hadoop.http.authentication.type</name>

  <value>simple</value>

  <description>

    Defines authentication used for Oozie HTTP endpoint.

    Supported values are: simple|kerberos | #AUTHENTICATION_HANDLER_CLASSNAME#

  </description>

</property>

  3、hadoop.http.authentication.token.validity这个值设定本次授权的token多长时间有效,单位是秒。默认配置是3600秒。
  4、hadoop.http.authentication.signature.secret.file设定signature secret file文件存放的绝对路径,这个文件需要同步到集群中所有的JobTracker, NameNode, DataNode 和TastTracker,它的默认值是${user.home}/hadoop-http-auth-signature-secret。需要保证signature secret file文件可以被启动JobTracker, NameNode, DataNode 和TastTracker进程的用户可读。
  5、hadoop.http.authentication.cookie.domain:以Cookie存储认证Token的域名,为了能够使得授权得以生效,需要配置一个正确的值,该属性是默认值为空。
  6、hadoop.http.authentication.simple.anonymous.allowed:在simple授权模式下,是否允许匿名用户请求。默认值是ture,也就是允许。
  7、hadoop.http.authentication.kerberos.principal:在kerberos授权模式下,是否允许HTTP终端用 Kerberos principal,这个属性的值必须是以'HTTP/'开头。默认的值是HTTP/_HOST@$LOCALHOST。
  8、hadoop.http.authentication.kerberos.keytab: keytab file文件的存放地址,默认值是$user.home/hadoop.keytab.i。

 

blog2

core-siet.xml配置文件中增加如下三行

<property>

                <name>hadoop.http.filter.initializers</name>

                <value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>

</property>

<property>

                <name>hadoop.http.authentication.type</name>

                <value>simple</value>

</property>

<property>

               <name>hadoop.http.authentication.signature.secret.file</name>

               <value>/hadoop/hdfs/hadoop-http-auth-signature-secret</value>

</property>

hadoop.http.authentication.simple.anonymous.allowed:在simple授权模式下,是否允许匿名用户请求。默认值是ture,也就是允许。 将这个参数改为flase;

创建/hadoop/hdfs/hadoop-http-auth-signature-secret文件,里面输入自己想要的密码

重启hadopp集群

页面访问

http://localhost:50070?user.nam=你的密码

zuoseve01
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
大数据Hadoop系列之Hadoop Web控制台添加身份验证
web15185420056的博客
08-28 823
本文档介绍如何配置Hadoop HTTP Web控制台以要求用户身份验证。默认情况下,Hadoop HTTP Web控制台(ResourceManager,NameNode,NodeManagers和DataNodes)允许访问而无需任何形式的身份验证。可以将Hadoop HTTP Web控制台配置为使用HTTP SPNEGO协议(Firefox和Internet Explorer等浏览器支持)进行Kerberos身份验证。...
hadoop web 端口安全认证
sunyang098的博客
09-21 4754
Hadoop集群配置完成,web监控界面的50070和50030端口不需用户验证即可访问,对生产环境是不容许的,需要加上安全机制。 1、修改core-site.xml,增加如下内容,配置完成后拷贝到其他节点上。         hadoop.http.filter.initializers     org.apache.hadoop.security.AuthenticationFilt
hadoop学习-----webUI界面和文件命令
最新发布
weixin_46164667的博客
04-22 305
http://主机地址:9870/explorer.html
【转】Hadoop web页面授权设定
aoluochou3553的博客
03-20 618
转载自过往记忆(http://www.iteblog.com/)本文链接地址:《Hadoop web页面授权设定》(http://www.iteblog.com/archives/988) 一、相关概念   在默认情况下,Hadoop相关的WEB页面(JobTracker, NameNode, TaskTrackers and DataNodes)是不需要什么权限验证就可以直接进...
Hadoop Web 控制台安全认证——使用用户名 + 密码登陆设置方法 (Hadoop HTTP web-控制台认证 )
热门推荐
lt5227的博客
08-06 1万+
Hadoop HTTP WEB-控制台认证 我们安装完hadoop后,默认情况下我们访问UI界面是没有任何安全验证的。现在我想要的是对HadoopWeb控制台界面加入一些安全机制,最好是能设置用户名和密码,通过用户名密码的方式来访问我们的Hadoop Web控制台。在做之前,我首先想看看官方有没有类似的这样的功能。下面的文档是官方的 《Hadoop HTTP web-控制台认证》 的说明文档: https://hadoop.apache.org/docs/stable/hadoop-project-dis
Hadoop参数汇总
qq_36864672的博客
03-01 795
默认实现是 org.apache.hadoop.security.JniBasedUnixGroupsMappingWithFallback, 若是JNI有效,它将发挥做用,使用Hadoop的API去获取user的groups列表。在有些场景下,特别是对一些大的,而且不可能重用的数据,缓存在操做系统的缓存区是无用的。可使用8进制数字也可使用符号,例如:"022" (8进制,等同于以符号表示的u=rwx,g=r-x,o=r-x),或者"u=rwx,g=rwx,o="(符号法,等同于8进制的007)。
hadoop插件apache-hadoop-3.1.0-winutils-master.zip
12-17
标题中的"apache-hadoop-3.1.0-winutils-master.zip"是一个针对Windows用户的Hadoop工具包,它包含了运行Hadoop所需的特定于Windows的工具和配置。`winutils.exe`是这个工具包的关键组件,它是Hadoop在Windows上的一...
hadoop-common-2.2.0-bin-master.zip
04-30
hadoop-common-2.2.0-bin-master(包含windows端开发Hadoop和Spark需要的winutils.exe),Windows下IDEA开发Hadoop和Spark程序会报错,原因是因为如果本机操作系统是windows,在程序中使用了hadoop相关的东西,比如写入...
hadoop-common-2.6.0-bin-master
11-19
标题中的“hadoop-common-2.6.0-bin-master”指的是Hadoop Common的2.6.0版本的源码编译后的二进制主目录,这个目录包含了运行Hadoop所需的各种基础工具和库。 在Windows 10环境下,由于操作系统本身的特性和Linux...
hadoop-lzo-0.4.21-SNAPSHOT jars
04-07
1. `hadoop-lzo-0.4.21-SNAPSHOT-javadoc.jar`:这是Hadoop-LZO的Java文档(Javadoc),包含了一份详细的API文档,开发者可以通过查阅这份文档了解如何在自己的代码中调用Hadoop-LZO提供的接口和类,进行数据压缩...
hadoop-lzo-0.4.20-SNAPSHOT.jar
07-29
编译后的hadoop-lzo源码,将hadoop-lzo-0.4.21-SNAPSHOT.jar放到hadoop的classpath下 如${HADOOP_HOME}/share/hadoop/common。hadoop才能正确支持lzo,免去编译的烦恼
Hadoop web页面授权设定
mn_kw的博客
05-28 2162
在core-siet.xml配置文件中增加如下三行 <property> <name>hadoop.http.filter.initializers</name> <value>org.apache.hadoop.security.AuthenticationFilterIniti...
Hadoop-2.2.0中文文档——Common-Hadoop HTTP web控制台认证
三分地
05-22 3174
简介 此文档描述了如何配置Hadoop HTTP web控制台,去要求用户认证。 默认地,Hadoop HTTP web控制台(JobTracker, NameNode, TaskTrackers 和 DataNodes)不需要任何认证就允许访问。 与Hadoop RPC相似, Hadoop HTTP web控制台可以被配置为需要使用HTTP SPNEGO协议认证(由FireFo
Hadoop1.2.1配置用户认证——simple类型
weixin_34306676的博客
08-03 552
2019独角兽企业重金招聘Python工程师标准>>> ...
Hadoop web监控界面加上安全机制设置
曹世超的专栏
10-25 8806
1. 配置core-site.xml,并scp到其他节点   2. 手动创建 ${user.home}/hadoop-http-auth-signature-secret 文件,并sep到其他节点   3、重新启动后发现如下错误,确认是该Hadoop版本不支持:   4、升级Hadoop版本,新版本为Hadoop1.2.1,升级过程如下;   1:运行dfs
hadoop3访问hdfs web控制页面遇到的各种问题总结
web_15534206248的博客
08-17 1937
最近通过虚拟机安装配置了hadoop集群,集群虽然搭建起来了,不过通过浏览器访问管理界面的过程中遇到了一些问题,现整理总结一下。
Hadoop Web控制台添加身份验证
xiaokebiubiubiu的博客
03-08 5512
我们在安装完hadoop 2.x 版本之后,默认情况下,可以通过 http://ip:50070/dfshealth.html访问hdfs页面,查看namenode和datanode状态,以及hdfs的相关文件等。但是这存在安全隐患,可能导致我们的文件信息的泄露,如果我们在页面里面添加个认证机制,只有验证之后的用户才可以进入页面里操作。 下面介绍一个既安全又好用的配置方案。 既然这是一个web界面,那就可以从为web项目添加用户校验入手,而不是为hadoop提供用户校验入手。 1、...
Hadoop生态圈(十七)- HDFS权限管理
程序园@大Null
01-25 3492
UGO权限管理,Group Mapping组映射,Simple认证,Kerberos认证,ACL权限管理,umask权限掩码,UGO权限相关命令,Web页面修改UGO权限,基于Linux/Unix系统的用户和用户组,基于使用LDAP协议的数据库,ACL Shell命令,ACL操作实战
分割cd /root cp hadoop-huaweicloud-2.8.3-hw-39.jar /home/modules/hadoop- 2.8.3/share/hadoop/common/lib/ cp hadoop-huaweicloud-2.8.3-hw-39.jar /home/modules/hadoop-2.8.3/share/hadoop/tools/lib cp hadoop-huaweicloud-2.8.3-hw-39.jar /home/modules/hadoop2.8.3/share/hadoop/hƩ pfs/tomcat/webapps/webhdfs/WEB-INF/lib/ cp hadoop-huaweicloud-2.8.3-hw-39.jar /home/modules/hadoop-2.8.3/share/hadoop/hdfs/lib/
06-05
4. cp hadoop-huaweicloud-2.8.3-hw-39.jar /home/modules/hadoop2.8.3/share/hadoop/hdfs/tomcat/webapps/webhdfs/WEB-INF/lib/ 5. cp hadoop-huaweicloud-2.8.3-hw-39.jar /home/modules/hadoop-2.8.3/share/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值