Hadoop平台的安全保障.pptx

Hadoop平台的安全保障 概述0102身份认证Content目录03授权管理 01概述 概述 以 Hortonworks Data Platform (HDP) 平台为例 ,hadoop大数据平台的安全机制包括以下两个方面:即核实一个使用者的真实身份，一个使用者来使用大数据引擎平台，这个使用者需要表明自己是谁，即提供自己的身份证明，大数据平台需要检验这个证明，确定这个证明是有效的，且不是伪造的。否则，就拒绝这个使用者进入大数据引擎。身份认证这个使用者的真实身份核实之后，需要对这个使用者的使用权限进行界定，即这个使用者在大数据平台中能够使用什么组件，能够获取哪些资源，能够对资源进行哪些操作进行管理。授权管理 02身份认证 身份认证 大数据平台一般使用基于 Kerberos 的身份认证机制。简单来说，大数据平台中有一个专门的认证服务器KDC，可以把它看作是户籍派出所，可事先给所有的平台使用者（人用户以及机器和程序用户）发放户籍证明，即keytab（密钥）。之后每个用户要使用大数据平台，就要拿着这个证明先去KDC认证，认证无误之后，才能够使用大数据平台引擎。 身份认证如上图：kerberos化后,我们对 ambari 管理界面进行了二次开发。在这里创建本地用户的时候,已经同步向KDC服务器注册了该用户的相关信息，同时生成了该用户的keytab,点击用户,进入详情页可下载密钥。之后该用户来使用大数据平台（无论是命令行还是API调用还是其他什么方式），必须先携带keytab去KDC进行认证。操作示例 03授权管理 授权管理 大数据平台使用基于apache ranger的授权管理。授权管理是应该是建立在身份认证之上的,试想以下,如果连身份都无法确认的话,那你的任何授权都是不可靠的。 ranger提供了基于资源的授权管理机制，所谓资源就是大数据平台中的各组件（例如hdfs,hive,hbase等），以及组件内的具体资源（例如hdfs的某个路径，hive，hbase中的某个表）。某个组件资源对应于ranger中的service（服务），在单个service中创建策略就可以对这个组件的具体资源进行用户的权限管理了。 1、介绍了Hadoop平台安全保障概述2、介绍了身份认证3、介绍了授权管理