大數(shù)據(jù)培訓(xùn)Module05Kerberos架構(gòu)原理課件

版權(quán)所有?

2015

華為技術(shù)有限公司Kerberos架構(gòu)原理版權(quán)所有?2015華為技術(shù)有第1頁(yè)前言版權(quán)所有?

2015

華為技術(shù)有限公司第1頁(yè)Kerberos是FusionInsight產(chǎn)品集成，用于提供集群內(nèi)安全認(rèn)證的公共服務(wù)。

Ldap是FusionInsight產(chǎn)品集成，用于提供集群內(nèi)各組件用戶(hù)存儲(chǔ)功能。Kerberos和Ldap共同組成了FusionInsight產(chǎn)品安全認(rèn)證模塊，提供集群內(nèi)、集群外的安全接入。前言版權(quán)所有?2015華為技術(shù)有限公司第1頁(yè)Kerber目標(biāo)版權(quán)所有?

2015

華為技術(shù)有限公司第2頁(yè)

學(xué)完本課程后，您將能夠：描述FusionInsight產(chǎn)品中Kerberos&Ldap特性掌握FusionInsight產(chǎn)品中Kerberos&Ldap維護(hù)手段目標(biāo)版權(quán)所有?2015華為技術(shù)有限公司第2頁(yè) 學(xué)完本課目錄版權(quán)所有?

2015

華為技術(shù)有限公司第3頁(yè)Kerberos、Ldap概述Kerberos介紹Kerberos基本概念Ldap介紹Ldap文件結(jié)構(gòu)Kerberos、Ldap原理Kerberos、Ldap特性Kerberos、Ldap維護(hù)目錄版權(quán)所有?2015華為技術(shù)有限公司第3頁(yè)KerberKerberos介紹版權(quán)所有?

2015

華為技術(shù)有限公司第4頁(yè)Kerberos這一名詞來(lái)源于希臘神話(huà)“三個(gè)頭的

狗——地獄之門(mén)守護(hù)者”，后來(lái)沿用作為安全認(rèn)

證的概念，該系統(tǒng)設(shè)計(jì)上采用客戶(hù)端/服務(wù)器結(jié)構(gòu)與DES(Data

Encryption

Standard

標(biāo)準(zhǔn)加密技術(shù))、AES(Advanced

Encryption

Standard

高級(jí)加密技術(shù))等加密技術(shù)，并且能夠進(jìn)行相互認(rèn)證，即客戶(hù)端和服務(wù)器端均可對(duì)對(duì)方進(jìn)行身份認(rèn)證。

可以用于防止竊聽(tīng)、防止replay攻擊、保護(hù)數(shù)據(jù)完整性等場(chǎng)合，是一種應(yīng)用對(duì)稱(chēng)密鑰體制進(jìn)行密鑰管理的系統(tǒng)Kerberos介紹版權(quán)所有?2015華為技術(shù)有限公司第Kerberos基本概念版權(quán)所有?

2015

華為技術(shù)有限公司第5頁(yè)票據(jù)授權(quán)票(TGT

Ticket-Granting

Ticket)：用于應(yīng)用程序與KDC(Key

Distribution

Center

密鑰分發(fā)中心)服務(wù)器建立安全會(huì)話(huà)的票據(jù)，票據(jù)授權(quán)票存在有效期，當(dāng)票據(jù)授權(quán)票失效后，應(yīng)用側(cè)需要重新建立與KDC服務(wù)器的安全會(huì)話(huà)。會(huì)話(huà)有效期為24小時(shí)，不可配置。服務(wù)票據(jù)(ST

Service

Ticket):用于應(yīng)用程序與服務(wù)端建立安全會(huì)話(huà)的票據(jù)，服務(wù)票據(jù)存在有效期，當(dāng)服務(wù)票據(jù)失效后，應(yīng)用側(cè)需要重新建立與服務(wù)端的安全會(huì)話(huà)。默認(rèn)有效期為5分鐘，不可配置。Kerberos基本概念版權(quán)所有?2015華為技術(shù)有限公Ldap介紹版權(quán)所有?

2015

華為技術(shù)有限公司第6頁(yè)Ldap

(Lightweight

Directory

Access

Protocol)，輕量目錄訪(fǎng)問(wèn)協(xié)議，提供被稱(chēng)為目錄服務(wù)的信息服務(wù)，特別是基于X.500（構(gòu)成全球分布式的名錄服務(wù)系統(tǒng)的協(xié)議）的目錄服務(wù)。

Ldap運(yùn)行在TCP

/

IP或其他面向連接的傳輸服務(wù)之上。

Ldap同時(shí)是一個(gè)IETF標(biāo)準(zhǔn)跟蹤協(xié)議，在“輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議（Ldap

）技術(shù)規(guī)范路線(xiàn)圖”RFC4510中被指定。

Ldap軟件來(lái)源于OpenLDAP項(xiàng)目，該項(xiàng)目是一個(gè)由志愿者組成的團(tuán)隊(duì)，官網(wǎng)網(wǎng)址：

/Ldap介紹版權(quán)所有?2015華為技術(shù)有限公司第6頁(yè)LdLdap文件結(jié)構(gòu)版權(quán)所有?

2015

華為技術(shù)有限公司第7頁(yè)

LDAP信息模型是基于條目來(lái)組織地（如圖1.1），一個(gè)條目是一個(gè)屬性的集合，有一個(gè)全球唯一的識(shí)別名（

DN,Domain

Name

）。DN用于標(biāo)識(shí)條目。每個(gè)條目的屬性有一個(gè)類(lèi)型和一個(gè)或多個(gè)值。該類(lèi)型通常是可記憶的字符串，如

“

cn”就是標(biāo)識(shí)通用名稱(chēng)，或者“電子郵件”就是電子郵件

地址。該類(lèi)型值的語(yǔ)法依賴(lài)于屬性類(lèi)型。

例如，一個(gè)

cn

屬性可以包含一個(gè)值Marix

Wong。

一個(gè)

mail

屬性可以包含值“marix@”Ldap文件結(jié)構(gòu)版權(quán)所有?2015華為技術(shù)有限公司第7頁(yè)Ldap文件結(jié)構(gòu)版權(quán)所有?

2015

華為技術(shù)有限公司第8頁(yè)

在Ldap文件結(jié)構(gòu)中,

目錄條目都被排列在一個(gè)分層樹(shù)形結(jié)構(gòu)。一般來(lái)說(shuō)，這種結(jié)構(gòu)反映了地域和/或組織界限。代表國(guó)家的條目出現(xiàn)在樹(shù)的頂端。它們下面是代表省和國(guó)家組織的條目。再下面可能是代表組織單位、人、打印機(jī)、文檔或者其他任何東西，這種層級(jí)關(guān)系如圖1.1所示。Ldap文件結(jié)構(gòu)版權(quán)所有?2015華為技術(shù)有限公司第8頁(yè)Ldap文件結(jié)構(gòu)（續(xù)）c=GB版權(quán)所有?

2015

華為技術(shù)有限公司第9頁(yè)c=USst=Californiao=Googleou=Salesou=Marketingcn=Marix

Wong圖1.1Ldap文件結(jié)構(gòu)（續(xù)）c=GB版權(quán)所有?2015華為技術(shù)Ldap文件結(jié)構(gòu)（續(xù)）

樹(shù)也可以根據(jù)互聯(lián)網(wǎng)域名組主。這種命名方式目前在業(yè)界非常普遍，因?yàn)樗试S使用DNS為目錄服務(wù)定位

。如圖1.2所示的Ldap目錄樹(shù)中使用基于域的命名。dc=netdc=Google版權(quán)所有?

2015

華為技術(shù)有限公司第10頁(yè)dc=comou=Peopleou=Serversuid=Marix

Wong圖1.2dc=DELdap文件結(jié)構(gòu)（續(xù)） 樹(shù)也可以根據(jù)互聯(lián)網(wǎng)域名組主。這種命目錄版權(quán)所有?

2015

華為技術(shù)有限公司第11頁(yè)1. Kerberos、Ldap概述Kerberos、Ldap原理Kerberos認(rèn)證應(yīng)用場(chǎng)景Kerberos認(rèn)證原理Ldap訪(fǎng)問(wèn)原理Kerberos、Ldap特性Kerberos、Ldap維護(hù)目錄版權(quán)所有?2015華為技術(shù)有限公司第11頁(yè)1. KeKerberos認(rèn)證應(yīng)用場(chǎng)景Kerberos認(rèn)證在FusionInsight中主要使用于應(yīng)用程序需要訪(fǎng)問(wèn)集群中某一個(gè)組件資源場(chǎng)景，在安全模式集群中，F(xiàn)usionInsight集群中的任意資源，如hdfs，hbase等服務(wù)，訪(fǎng)問(wèn)這些服務(wù)之前均需要通過(guò)Kerberos認(rèn)證，建立安全會(huì)話(huà)鏈接，如下邏輯結(jié)構(gòu)圖。版權(quán)所有?

2015

華為技術(shù)有限公司第12頁(yè)Kerberos認(rèn)證應(yīng)用場(chǎng)景Kerberos認(rèn)證在FusioKerberos認(rèn)證原理認(rèn)證服務(wù)器(AS)票據(jù)授權(quán)服務(wù)器(TGS)數(shù)據(jù)庫(kù)（bd2，ldap）服務(wù)端客戶(hù)端3.KRB_TGS_REQ4.KRB_TGS_REP版權(quán)所有?

2015

華為技術(shù)有限公司第13頁(yè)Kerberos認(rèn)證原理認(rèn)證服務(wù)器(AS)票據(jù)授權(quán)服務(wù)器數(shù)據(jù)第14頁(yè)版權(quán)所有?2015

華為技術(shù)有限公司Step

1、2、3、4:

登錄Manager

WebUI的流程Step

5、6、7、8:

登錄組件UI的流程Step9

:組件間訪(fǎng)問(wèn)安全認(rèn)證Kerberos1對(duì)Ldap中數(shù)據(jù)的操作方式：訪(fǎng)問(wèn)Ldap1（主備兩個(gè)實(shí)例）和Ldap2（主備兩個(gè)實(shí)例），是采用負(fù)荷分擔(dān)訪(fǎng)問(wèn)，數(shù)據(jù)的寫(xiě)操作只能在Ldap2（主實(shí)例）上。數(shù)據(jù)的讀操作可以在Ldap1或者Ldap2上。Kerberos2對(duì)Ldap中數(shù)據(jù)的操作方式：只能訪(fǎng)問(wèn)Ldap2（包含主備兩個(gè)實(shí)例），數(shù)據(jù)的寫(xiě)操作只能在Ldap2（主實(shí)例）1.登錄Manager

WSKerberos1LDAP13.認(rèn)證4.2獲取用戶(hù)組組件WebApp5.跳轉(zhuǎn)到組件WebUI7.認(rèn)證8.獲取用戶(hù)組Manager

WebUI2.請(qǐng)求6.請(qǐng)求LDAP2Kerberos2sync4.1獲取用戶(hù)組9.組件訪(fǎng)問(wèn)kerberos名稱(chēng)含義名稱(chēng)含義Manage FusionInsight

ManagerrManagerWSFusionInsight

HDWebBrowserKerberos1部署在oms中的kerberos(管理平面)服務(wù)。Kerberos2部署在集群中的kerberos(業(yè)務(wù)平面)服務(wù)。Ldap1部署在oms中的ldap(管理平面)服務(wù)。Ldap2部署在集群中的ldap(管理平面)服務(wù)。FusionInsight

Kerberos架構(gòu)原理UserCASServer3.1認(rèn)證組件WebUI第14頁(yè)版權(quán)所有?2015華為技術(shù)有限公司Step1、2第15頁(yè)FusionInsightLdap訪(fǎng)問(wèn)原理LdapKerberos數(shù)據(jù)讀取/寫(xiě)入/修改權(quán)限管理用戶(hù)管理數(shù)據(jù)讀取/寫(xiě)入/修改數(shù)據(jù)讀取/寫(xiě)入/修改版權(quán)所有?

2015

華為技術(shù)有限公司第15頁(yè)FusionInsightLdap訪(fǎng)問(wèn)原理LdapKerbLdap訪(fǎng)問(wèn)原理（續(xù)）安裝集群前OmsLdap數(shù)據(jù)同步OmsLdap(Active) OmsLdap(Standby)安裝集群后Ldap數(shù)據(jù)同步數(shù)據(jù)同步方向數(shù)據(jù)同步方向數(shù)據(jù)同步方向數(shù)據(jù)同步方向OmsLdap(Standby)OmsLdap(Standby)組件Ldap(Active)組件Ldap(Standby)安裝集群前數(shù)據(jù)同步方向：主OmsLdap---->備OmsLdap

安裝集群后數(shù)據(jù)同步方向：主組件Ldap---->備組件Ldap、備OmsLdap

、備OmsLdap版權(quán)所有?

2015

華為技術(shù)有限公司第16頁(yè)Ldap訪(fǎng)問(wèn)原理（續(xù)）安裝集群前OmsLdap數(shù)據(jù)同步安裝集目錄版權(quán)所有?

2015

華為技術(shù)有限公司第17頁(yè)Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性

集群內(nèi)服務(wù)認(rèn)證

二次開(kāi)發(fā)認(rèn)證Ldap

HA機(jī)制4. Kerberos、Ldap維護(hù)目錄版權(quán)所有?2015華為技術(shù)有限公司第17頁(yè)Kerbe集群內(nèi)服務(wù)認(rèn)證版權(quán)所有?

2015

華為技術(shù)有限公司第18頁(yè)FusionInsight

安全模式集群內(nèi)任意服務(wù)間的相互訪(fǎng)問(wèn)都是基于Kerberos安全方案架構(gòu)實(shí)現(xiàn)，

集群內(nèi)某個(gè)服務(wù)（如HDFS）prestart的時(shí)候，會(huì)預(yù)先去Kerberos中獲取該服務(wù)對(duì)應(yīng)的服務(wù)名稱(chēng)sessionkey（keytab，主要是提供給應(yīng)用程序進(jìn)行身份認(rèn)證使用），在后續(xù)任意其他服務(wù)（如YARN）需要去HDFS中執(zhí)行增/刪/改/查數(shù)據(jù)時(shí)，必須獲取到對(duì)應(yīng)的TGT和ST，用于本次的安全訪(fǎng)問(wèn)。集群內(nèi)服務(wù)認(rèn)證版權(quán)所有?2015華為技術(shù)有限公司第18頁(yè)二次開(kāi)發(fā)認(rèn)證版權(quán)所有?

2015

華為技術(shù)有限公司第19頁(yè)FusionInsight

提供了二次開(kāi)發(fā)接口，用于客戶(hù)或者上層業(yè)務(wù)產(chǎn)品集成FusionInsight作為二次開(kāi)發(fā)使用，二次開(kāi)發(fā)過(guò)程中，安全模式集群提供了特定的二次開(kāi)發(fā)認(rèn)證接口，用于二次開(kāi)發(fā)過(guò)程中

的安全訪(fǎng)問(wèn)，例如hadoop-common

api提供的UserGroupInformation類(lèi)，該類(lèi)提供了多個(gè)安全認(rèn)證api接口：setConfiguration()主要是獲取對(duì)應(yīng)的配置，設(shè)置全局變量等參數(shù)。

loginUserFromKeytab()獲取TGT接口。認(rèn)證流程可以參考Kerberos基本原理章節(jié)。二次開(kāi)發(fā)認(rèn)證版權(quán)所有?2015華為技術(shù)有限公司第19頁(yè)FLdapHA機(jī)制FusionInsight中集成的Ldap服務(wù)提供了HA機(jī)制，提升Ldap的高可靠性，具體配置如下：版權(quán)所有?

2015

華為技術(shù)有限公司第20頁(yè)Ldapserver（Active）Ldapserver（Standby）LdapHA機(jī)制FusionInsight中集成的Ldap目錄版權(quán)所有?

2015

華為技術(shù)有限公司第21頁(yè)Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性Kerberos、Ldap維護(hù)Kerberos、Ldap部署Kerberos、Ldap參數(shù)介紹Kerberos、Ldap

常用命令目錄版權(quán)所有?2015華為技術(shù)有限公司第21頁(yè)Kerbe常用角色部署方式版權(quán)所有?

2015

華為技術(shù)有限公司第22頁(yè)Kerberos服務(wù)角色：KerberosServer、KerberosAdmin

Kerberos服務(wù)采用雙主模式部署，即安裝的時(shí)候，將kerberos服務(wù)選擇到集群內(nèi)任意兩個(gè)節(jié)點(diǎn)即可。LdapServer服務(wù)角色：SlapdServer

LdapServer服務(wù)采用主備模式部署，即安裝的時(shí)候，將LdapServer服務(wù)選擇到集群內(nèi)任意兩個(gè)節(jié)點(diǎn)即可?？紤]性能最優(yōu)化，建議所有集群中LdapServer都與KrbServer部署在相同主機(jī)上。常用角色部署方式版權(quán)所有?2015華為技術(shù)有限公司第22部署方式舉例節(jié)點(diǎn)host216,host219分別部署kerberos

&

Ldap版權(quán)所有?

2015

華為技術(shù)有限公司第23頁(yè)部署方式舉例節(jié)點(diǎn)host216,host219分別部署ker參數(shù)介紹版權(quán)所有?

2015

華為技術(shù)有限公司第24頁(yè)KrbServer服務(wù)安裝后存在以下可選參數(shù)配置項(xiàng)：配置項(xiàng)配置含義KADMIN_PORTkadmin服務(wù)提供用戶(hù)管理的端口Kdc_portskdc服務(wù)實(shí)例的端口Kdc_timoutkdc提供認(rèn)證服務(wù)的超時(shí)時(shí)長(zhǎng)KPASSWD_PORTkadmin提供密碼管理的端口LDAP_OPTION_TIMEOUTKerberos對(duì)后端LDAP數(shù)據(jù)庫(kù)進(jìn)行連接的超時(shí)時(shí)長(zhǎng)，連接操作時(shí)間超過(guò)該值，Kerberos返回失敗。LDAP_SEARCH_TIMEOUTKerberos對(duì)后端LDAP數(shù)據(jù)庫(kù)進(jìn)行操作的查詢(xún)時(shí)長(zhǎng)，查詢(xún)操作時(shí)間超過(guò)該值，Kerberos返回失敗。max_retriesJDK進(jìn)程連接KDC進(jìn)行認(rèn)證的最大次數(shù)，如果連接次數(shù)超過(guò)設(shè)定值，返回失敗。參數(shù)介紹版權(quán)所有?2015華為技術(shù)有限公司第24頁(yè)Krb常用命令版權(quán)所有?

2015

華為技術(shù)有限公司第25頁(yè)命令命令含義Ldapsearch系統(tǒng)自帶的Ldap客戶(hù)端命令工具，查詢(xún)Ldap中的用戶(hù)信息ldapadd系統(tǒng)自帶的Ldap客戶(hù)端命令工具，向Ldap中的添加用戶(hù)信息ldapdelete系統(tǒng)自帶的Ldap客戶(hù)端命令工具，刪除Ldap中的用戶(hù)信息kinitKerberos用戶(hù)身份認(rèn)證，只有通過(guò)身份認(rèn)證的用戶(hù)才能執(zhí)行FusionInsight

HD各組件的shell命令，完成組件的維護(hù)任務(wù)kdestroyKerberos用戶(hù)身份注銷(xiāo)，完成組件任務(wù)后使用kadmin切換致kerberos

admin用戶(hù)，擁有admin權(quán)限，該用戶(hù)可以獲取、修改kerberos

用戶(hù)信息kpasswd修改Kerberos用戶(hù)密碼klist列出當(dāng)前通過(guò)身份認(rèn)證的Kerberos用戶(hù)常用命令版權(quán)所有?2015華為技術(shù)有限公司第25頁(yè)命令命更多信息MIT

Doc官方網(wǎng)址：http://web.mi/kerberos/krb5-

latest/doc/index.htmlOpenLdap官方網(wǎng)址：版權(quán)所有?

2015

華為技術(shù)有限公司第26頁(yè)更多信息MITDoc官方網(wǎng)址：http://web.mit學(xué)習(xí)推薦版權(quán)所有?

2015

華為技術(shù)有限公司第27頁(yè)華為L(zhǎng)earning網(wǎng)站/learning/Index!toTrainIndex華為Support案例庫(kù)/enterprise/servicecenter?lang=zh學(xué)習(xí)推薦版權(quán)所有?2015華為技術(shù)有限公司第27頁(yè)華為L(zhǎng)www.huawe謝謝謝謝第29頁(yè)版權(quán)所有?

2015

華為技術(shù)有限公司Kerberos架構(gòu)原理版權(quán)所有?2015華為技術(shù)有第30頁(yè)前言版權(quán)所有?

2015

華為技術(shù)有限公司第1頁(yè)Kerberos是FusionInsight產(chǎn)品集成，用于提供集群內(nèi)安全認(rèn)證的公共服務(wù)。

Ldap是FusionInsight產(chǎn)品集成，用于提供集群內(nèi)各組件用戶(hù)存儲(chǔ)功能。Kerberos和Ldap共同組成了FusionInsight產(chǎn)品安全認(rèn)證模塊，提供集群內(nèi)、集群外的安全接入。前言版權(quán)所有?2015華為技術(shù)有限公司第1頁(yè)Kerber目標(biāo)版權(quán)所有?

2015

華為技術(shù)有限公司第2頁(yè)

學(xué)完本課程后，您將能夠：描述FusionInsight產(chǎn)品中Kerberos&Ldap特性掌握FusionInsight產(chǎn)品中Kerberos&Ldap維護(hù)手段目標(biāo)版權(quán)所有?2015華為技術(shù)有限公司第2頁(yè) 學(xué)完本課目錄版權(quán)所有?

2015

華為技術(shù)有限公司第3頁(yè)Kerberos、Ldap概述Kerberos介紹Kerberos基本概念Ldap介紹Ldap文件結(jié)構(gòu)Kerberos、Ldap原理Kerberos、Ldap特性Kerberos、Ldap維護(hù)目錄版權(quán)所有?2015華為技術(shù)有限公司第3頁(yè)KerberKerberos介紹版權(quán)所有?

2015

華為技術(shù)有限公司第4頁(yè)Kerberos這一名詞來(lái)源于希臘神話(huà)“三個(gè)頭的

狗——地獄之門(mén)守護(hù)者”，后來(lái)沿用作為安全認(rèn)

證的概念，該系統(tǒng)設(shè)計(jì)上采用客戶(hù)端/服務(wù)器結(jié)構(gòu)與DES(Data

Encryption

Standard

標(biāo)準(zhǔn)加密技術(shù))、AES(Advanced

Encryption

Standard

高級(jí)加密技術(shù))等加密技術(shù)，并且能夠進(jìn)行相互認(rèn)證，即客戶(hù)端和服務(wù)器端均可對(duì)對(duì)方進(jìn)行身份認(rèn)證。

可以用于防止竊聽(tīng)、防止replay攻擊、保護(hù)數(shù)據(jù)完整性等場(chǎng)合，是一種應(yīng)用對(duì)稱(chēng)密鑰體制進(jìn)行密鑰管理的系統(tǒng)Kerberos介紹版權(quán)所有?2015華為技術(shù)有限公司第Kerberos基本概念版權(quán)所有?

2015

華為技術(shù)有限公司第5頁(yè)票據(jù)授權(quán)票(TGT

Ticket-Granting

Ticket)：用于應(yīng)用程序與KDC(Key

Distribution

Center

密鑰分發(fā)中心)服務(wù)器建立安全會(huì)話(huà)的票據(jù)，票據(jù)授權(quán)票存在有效期，當(dāng)票據(jù)授權(quán)票失效后，應(yīng)用側(cè)需要重新建立與KDC服務(wù)器的安全會(huì)話(huà)。會(huì)話(huà)有效期為24小時(shí)，不可配置。服務(wù)票據(jù)(ST

Service

Ticket):用于應(yīng)用程序與服務(wù)端建立安全會(huì)話(huà)的票據(jù)，服務(wù)票據(jù)存在有效期，當(dāng)服務(wù)票據(jù)失效后，應(yīng)用側(cè)需要重新建立與服務(wù)端的安全會(huì)話(huà)。默認(rèn)有效期為5分鐘，不可配置。Kerberos基本概念版權(quán)所有?2015華為技術(shù)有限公Ldap介紹版權(quán)所有?

2015

華為技術(shù)有限公司第6頁(yè)Ldap

(Lightweight

Directory

Access

Protocol)，輕量目錄訪(fǎng)問(wèn)協(xié)議，提供被稱(chēng)為目錄服務(wù)的信息服務(wù)，特別是基于X.500（構(gòu)成全球分布式的名錄服務(wù)系統(tǒng)的協(xié)議）的目錄服務(wù)。

Ldap運(yùn)行在TCP

/

IP或其他面向連接的傳輸服務(wù)之上。

Ldap同時(shí)是一個(gè)IETF標(biāo)準(zhǔn)跟蹤協(xié)議，在“輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議（Ldap

）技術(shù)規(guī)范路線(xiàn)圖”RFC4510中被指定。

Ldap軟件來(lái)源于OpenLDAP項(xiàng)目，該項(xiàng)目是一個(gè)由志愿者組成的團(tuán)隊(duì)，官網(wǎng)網(wǎng)址：

/Ldap介紹版權(quán)所有?2015華為技術(shù)有限公司第6頁(yè)LdLdap文件結(jié)構(gòu)版權(quán)所有?

2015

華為技術(shù)有限公司第7頁(yè)

LDAP信息模型是基于條目來(lái)組織地（如圖1.1），一個(gè)條目是一個(gè)屬性的集合，有一個(gè)全球唯一的識(shí)別名（

DN,Domain

Name

）。DN用于標(biāo)識(shí)條目。每個(gè)條目的屬性有一個(gè)類(lèi)型和一個(gè)或多個(gè)值。該類(lèi)型通常是可記憶的字符串，如

“

cn”就是標(biāo)識(shí)通用名稱(chēng)，或者“電子郵件”就是電子郵件

地址。該類(lèi)型值的語(yǔ)法依賴(lài)于屬性類(lèi)型。

例如，一個(gè)

cn

屬性可以包含一個(gè)值Marix

Wong。

一個(gè)

mail

屬性可以包含值“marix@”Ldap文件結(jié)構(gòu)版權(quán)所有?2015華為技術(shù)有限公司第7頁(yè)Ldap文件結(jié)構(gòu)版權(quán)所有?

2015

華為技術(shù)有限公司第8頁(yè)

在Ldap文件結(jié)構(gòu)中,

目錄條目都被排列在一個(gè)分層樹(shù)形結(jié)構(gòu)。一般來(lái)說(shuō)，這種結(jié)構(gòu)反映了地域和/或組織界限。代表國(guó)家的條目出現(xiàn)在樹(shù)的頂端。它們下面是代表省和國(guó)家組織的條目。再下面可能是代表組織單位、人、打印機(jī)、文檔或者其他任何東西，這種層級(jí)關(guān)系如圖1.1所示。Ldap文件結(jié)構(gòu)版權(quán)所有?2015華為技術(shù)有限公司第8頁(yè)Ldap文件結(jié)構(gòu)（續(xù)）c=GB版權(quán)所有?

2015

華為技術(shù)有限公司第9頁(yè)c=USst=Californiao=Googleou=Salesou=Marketingcn=Marix

Wong圖1.1Ldap文件結(jié)構(gòu)（續(xù)）c=GB版權(quán)所有?2015華為技術(shù)Ldap文件結(jié)構(gòu)（續(xù)）

樹(shù)也可以根據(jù)互聯(lián)網(wǎng)域名組主。這種命名方式目前在業(yè)界非常普遍，因?yàn)樗试S使用DNS為目錄服務(wù)定位

。如圖1.2所示的Ldap目錄樹(shù)中使用基于域的命名。dc=netdc=Google版權(quán)所有?

2015

華為技術(shù)有限公司第10頁(yè)dc=comou=Peopleou=Serversuid=Marix

Wong圖1.2dc=DELdap文件結(jié)構(gòu)（續(xù)） 樹(shù)也可以根據(jù)互聯(lián)網(wǎng)域名組主。這種命目錄版權(quán)所有?

2015

華為技術(shù)有限公司第11頁(yè)1. Kerberos、Ldap概述Kerberos、Ldap原理Kerberos認(rèn)證應(yīng)用場(chǎng)景Kerberos認(rèn)證原理Ldap訪(fǎng)問(wèn)原理Kerberos、Ldap特性Kerberos、Ldap維護(hù)目錄版權(quán)所有?2015華為技術(shù)有限公司第11頁(yè)1. KeKerberos認(rèn)證應(yīng)用場(chǎng)景Kerberos認(rèn)證在FusionInsight中主要使用于應(yīng)用程序需要訪(fǎng)問(wèn)集群中某一個(gè)組件資源場(chǎng)景，在安全模式集群中，F(xiàn)usionInsight集群中的任意資源，如hdfs，hbase等服務(wù)，訪(fǎng)問(wèn)這些服務(wù)之前均需要通過(guò)Kerberos認(rèn)證，建立安全會(huì)話(huà)鏈接，如下邏輯結(jié)構(gòu)圖。版權(quán)所有?

2015

華為技術(shù)有限公司第12頁(yè)Kerberos認(rèn)證應(yīng)用場(chǎng)景Kerberos認(rèn)證在FusioKerberos認(rèn)證原理認(rèn)證服務(wù)器(AS)票據(jù)授權(quán)服務(wù)器(TGS)數(shù)據(jù)庫(kù)（bd2，ldap）服務(wù)端客戶(hù)端3.KRB_TGS_REQ4.KRB_TGS_REP版權(quán)所有?

2015

華為技術(shù)有限公司第13頁(yè)Kerberos認(rèn)證原理認(rèn)證服務(wù)器(AS)票據(jù)授權(quán)服務(wù)器數(shù)據(jù)第14頁(yè)版權(quán)所有?2015

華為技術(shù)有限公司Step

1、2、3、4:

登錄Manager

WebUI的流程Step

5、6、7、8:

登錄組件UI的流程Step9

:組件間訪(fǎng)問(wèn)安全認(rèn)證Kerberos1對(duì)Ldap中數(shù)據(jù)的操作方式：訪(fǎng)問(wèn)Ldap1（主備兩個(gè)實(shí)例）和Ldap2（主備兩個(gè)實(shí)例），是采用負(fù)荷分擔(dān)訪(fǎng)問(wèn)，數(shù)據(jù)的寫(xiě)操作只能在Ldap2（主實(shí)例）上。數(shù)據(jù)的讀操作可以在Ldap1或者Ldap2上。Kerberos2對(duì)Ldap中數(shù)據(jù)的操作方式：只能訪(fǎng)問(wèn)Ldap2（包含主備兩個(gè)實(shí)例），數(shù)據(jù)的寫(xiě)操作只能在Ldap2（主實(shí)例）1.登錄Manager

WSKerberos1LDAP13.認(rèn)證4.2獲取用戶(hù)組組件WebApp5.跳轉(zhuǎn)到組件WebUI7.認(rèn)證8.獲取用戶(hù)組Manager

WebUI2.請(qǐng)求6.請(qǐng)求LDAP2Kerberos2sync4.1獲取用戶(hù)組9.組件訪(fǎng)問(wèn)kerberos名稱(chēng)含義名稱(chēng)含義Manage FusionInsight

ManagerrManagerWSFusionInsight

HDWebBrowserKerberos1部署在oms中的kerberos(管理平面)服務(wù)。Kerberos2部署在集群中的kerberos(業(yè)務(wù)平面)服務(wù)。Ldap1部署在oms中的ldap(管理平面)服務(wù)。Ldap2部署在集群中的ldap(管理平面)服務(wù)。FusionInsight

Kerberos架構(gòu)原理UserCASServer3.1認(rèn)證組件WebUI第14頁(yè)版權(quán)所有?2015華為技術(shù)有限公司Step1、2第44頁(yè)FusionInsightLdap訪(fǎng)問(wèn)原理LdapKerberos數(shù)據(jù)讀取/寫(xiě)入/修改權(quán)限管理用戶(hù)管理數(shù)據(jù)讀取/寫(xiě)入/修改數(shù)據(jù)讀取/寫(xiě)入/修改版權(quán)所有?

2015

華為技術(shù)有限公司第15頁(yè)FusionInsightLdap訪(fǎng)問(wèn)原理LdapKerbLdap訪(fǎng)問(wèn)原理（續(xù)）安裝集群前OmsLdap數(shù)據(jù)同步OmsLdap(Active) OmsLdap(Standby)安裝集群后Ldap數(shù)據(jù)同步數(shù)據(jù)同步方向數(shù)據(jù)同步方向數(shù)據(jù)同步方向數(shù)據(jù)同步方向OmsLdap(Standby)OmsLdap(Standby)組件Ldap(Active)組件Ldap(Standby)安裝集群前數(shù)據(jù)同步方向：主OmsLdap---->備OmsLdap

安裝集群后數(shù)據(jù)同步方向：主組件Ldap---->備組件Ldap、備OmsLdap

、備OmsLdap版權(quán)所有?

2015

華為技術(shù)有限公司第16頁(yè)Ldap訪(fǎng)問(wèn)原理（續(xù)）安裝集群前OmsLdap數(shù)據(jù)同步安裝集目錄版權(quán)所有?

2015

華為技術(shù)有限公司第17頁(yè)Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性

集群內(nèi)服務(wù)認(rèn)證

二次開(kāi)發(fā)認(rèn)證Ldap

HA機(jī)制4. Kerberos、Ldap維護(hù)目錄版權(quán)所有?2015華為技術(shù)有限公司第17頁(yè)Kerbe集群內(nèi)服務(wù)認(rèn)證版權(quán)所有?

2015

華為技術(shù)有限公司第18頁(yè)FusionInsight

安全模式集群內(nèi)任意服務(wù)間的相互訪(fǎng)問(wèn)都是基于Kerberos安全方案架構(gòu)實(shí)現(xiàn)，

集群內(nèi)某個(gè)服務(wù)（如HDFS）prestart的時(shí)候，會(huì)預(yù)先去Kerberos中獲取該服務(wù)對(duì)應(yīng)的服務(wù)名稱(chēng)sessionkey（keytab，主要是提供給應(yīng)用程序進(jìn)行身份認(rèn)證使用），在后續(xù)任意其他服務(wù)（如YARN）需要去HDFS中執(zhí)行增/刪/改/查數(shù)據(jù)時(shí)，必須獲取到對(duì)應(yīng)的TGT和ST，用于本次的安全訪(fǎng)問(wèn)。集群內(nèi)服務(wù)認(rèn)證版權(quán)所有?2015華為技術(shù)有限公司第18頁(yè)二次開(kāi)發(fā)認(rèn)證版權(quán)所有?

2015

華為技術(shù)有限公司第19頁(yè)FusionInsight

提供了二次開(kāi)發(fā)接口，用于客戶(hù)或者上層業(yè)務(wù)產(chǎn)品集成FusionInsight作為二次開(kāi)發(fā)使用，二次開(kāi)發(fā)過(guò)程中，安全模式集群提供了特定的二次開(kāi)發(fā)認(rèn)證接口，用于二次開(kāi)發(fā)過(guò)程中

的安全訪(fǎng)問(wèn)，例如hadoop-common

api提供的UserGroupInformation類(lèi)，該類(lèi)提供了多個(gè)安全認(rèn)證api接口：setConfiguration()主要是獲取對(duì)應(yīng)的配置，設(shè)置全局變量等參數(shù)。

loginUserFromKeytab()獲取TGT接口。認(rèn)證流程可以參考Kerberos基本原理章節(jié)。二次開(kāi)發(fā)認(rèn)證版權(quán)所有?2015華為技術(shù)有限公司第19頁(yè)FLdapHA機(jī)制FusionInsight中集成的Ldap服務(wù)提供了HA機(jī)制，提升Ldap的高可靠性，具體配置如下：版權(quán)所有?

2015

華為技術(shù)有限公司第20頁(yè)Ldapserver（Active）Ldapserver（Standby）LdapHA機(jī)制FusionInsight中集成的Ldap目錄版權(quán)所有?

2015

華為技術(shù)有限公司第21頁(yè)Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性Kerberos、Ldap維護(hù)Kerberos、Ldap部署Kerberos、Ldap參數(shù)介紹Kerberos、Ldap

常用命令目錄版權(quán)所有?2015華為技術(shù)有限公司第21頁(yè)Kerbe常用角色部署方式版權(quán)所有?

2015

華為技術(shù)有限公司第22頁(yè)Kerberos服務(wù)角色：KerberosServer、KerberosAdmin

Kerberos服務(wù)采用雙主模式部署，即安裝的時(shí)候，將kerberos服務(wù)選擇到集群內(nèi)任意兩個(gè)節(jié)點(diǎn)即可。LdapServer服務(wù)角色：SlapdServer

LdapServer服務(wù)采用主備模式部署，即安裝的時(shí)候，將LdapServer服務(wù)選擇到集群內(nèi)任意兩個(gè)節(jié)