Hadoop身份验证机制中对于Kerberos的支持.pptx

Hadoop身份验证机制中对于Kerberos的支持 Kerberos协议0102Hadoop平台上添加Kerberos认证Content目录03Hadoop通过kerberos安全认证的分析 01Kerberos协议 Kerberos协议Kerberos协议：Kerberos协议主要用于计算机网络的身份鉴别(Authentication),?其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性先来看看Kerberos协议的前提条件：如下图所示，Client与KDC，?KDC与Service?在协议工作前已经有了各自的共享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制了Kerberos协议往往用于一个组织的内部，?使其应用场景不同于X.509 PKI。 02Hadoop平台上添加Kerberos认证 Hadoop平台上添加Kerberos认证1）第一步自然是部署KDC，并配置KDC服务器上的相关文件，其中/etc/krb5.conf要复制到集群内所有机子，并创建principal数据库。2）创建认证规则principals和keytab，这个很重要，就是生成每个客户端相应的秘钥，Keytab是融合主机和Linux上账号而生成的，复制keytab到相应节点。使用kerberos进行验证的原因可靠?Hadoop 本身并没有认证功能和创建用户组功能，使用依靠外围的认证系统高效?Kerberos使用对称钥匙操作，比SSL的公共密钥快操作简单?用户可以方便进行操作，不需要很复杂的指令。比如废除一个用户只需要从Kerbores的KDC数据库中删除即可。 03Hadoop通过kerberos安全认证的分析 Hadoop通过kerberos安全认证的分析 Hadoop通过kerberos安全认证的分析1）Hadoop的安全问题——用户到服务器的认证问题NameNode，,JobTracker上没有用户认证用户可以伪装成其他用户入侵到一个HDFS 或者MapReduce集群上。DataNode上没有认证Datanode对读入输出并没有认证。导致如果一些客户端如果知道block的ID，就可以任意的访问DataNode上block的数据JobTracker上没有认证可以任意的杀死或更改用户的jobs，可以更改JobTracker的工作状态 Hadoop通过kerberos安全认证的分析 ——服务器到服务器的认证问题没有DataNode, TaskTracker的认证用户可以伪装成datanode ,tasktracker，去接受JobTracker, Namenode的任务指派。2）Kerberos解决方案kerberos实现的是机器级别的安全认证，也就是前面提到的服务到服务的认证问题。事先对集群中确定的机器由管理员手动添加到kerberos数据库中，在KDC上分别产生主机与各个节点的keytab(包含了host和对应节点的名字，还有他们之间的密钥)，并 Hadoop通过kerberos安全认证的分析并将这些keytab分发到对应的节点上。通过这些keytab文件，节点可以从KDC上获得与目标节点通信的密钥，进而被目标节点所认证，提供相应的服务，防止了被冒充的可能性。 ——解决服务器到服务器的认证由于kerberos对集群里的所有机器都分发了keytab，相互之间使用密钥进行通信，确保不会冒充服务器的情况。集群中的机器就是它们所宣称的，是可靠的。防止了用户伪装成Datanode，Tasktracker，去接受JobTracker，Namenode的任务指派。 Hadoop通过Kerberos安全认证的分析 ——解决client到服务器的认证Kerberos对可信任的客户端提供认证，确保他们可以执行作业的相关操作。防止用户恶意冒充client提交作业的情况。用户无法伪装成其他用户入侵到一个HDFS 或者MapReduce集群上用户即使知道datanode的相关信息，也无法读取HDFS上的数据用户无法发送对于作业的操作到JobTracker上 ——对用户级别上的认证并没有实现无法控制用户提交作业的操作。不能够实现限制用户提交作业的权限。不能控制哪些用户可以提交该类型的作业，哪些用户不能提交该类型的作业。这个可以通过ACL来控制，对具体文件的读写访问进行有效管理。 1、介绍了Kerberos协议2、介绍了Hadoop平台上添加Ke