Hadoop身份驗證機(jī)制中對于Kerberos的支持

Hadoop身份驗證機(jī)制中對于Kerberos的支持Kerberos協(xié)議0102Hadoop平臺上添加Kerberos認(rèn)證Content目錄03Hadoop通過kerberos安全認(rèn)證的分析01

Kerberos協(xié)議Kerberos協(xié)議Kerberos協(xié)議：Kerberos協(xié)議主要用于計算機(jī)網(wǎng)絡(luò)的身份鑒別(Authentication),

其特點(diǎn)是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-grantingticket)訪問多個服務(wù)，即SSO(SingleSignOn)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩韵葋砜纯碖erberos協(xié)議的前提條件：如下圖所示，Client與KDC，

KDC與Service

在協(xié)議工作前已經(jīng)有了各自的共享密鑰，并且由于協(xié)議中的消息無法穿透防火墻，這些條件就限制了Kerberos協(xié)議往往用于一個組織的內(nèi)部，

使其應(yīng)用場景不同于X.509PKI。02

Hadoop平臺上添加Kerberos認(rèn)證

Hadoop平臺上添加Kerberos認(rèn)證1）第一步自然是部署KDC，并配置KDC服務(wù)器上的相關(guān)文件，其中/etc/krb5.conf要復(fù)制到集群內(nèi)所有機(jī)子，并創(chuàng)建principal數(shù)據(jù)庫。2）創(chuàng)建認(rèn)證規(guī)則principals和keytab，這個很重要，就是生成每個客戶端相應(yīng)的秘鑰，Keytab是融合主機(jī)和Linux上賬號而生成的，復(fù)制keytab到相應(yīng)節(jié)點(diǎn)。使用kerberos進(jìn)行驗證的原因可靠

Hadoop本身并沒有認(rèn)證功能和創(chuàng)建用戶組功能，使用依靠外圍的認(rèn)證系統(tǒng)高效

Kerberos使用對稱鑰匙操作，比SSL的公共密鑰快操作簡單

用戶可以方便進(jìn)行操作，不需要很復(fù)雜的指令。比如廢除一個用戶只需要從Kerbores的KDC數(shù)據(jù)庫中刪除即可。03

Hadoop通過kerberos安全認(rèn)證的分析

Hadoop通過kerberos安全認(rèn)證的分析Hadoop通過kerberos安全認(rèn)證的分析1）Hadoop的安全問題——用戶到服務(wù)器的認(rèn)證問題

NameNode，,JobTracker上沒有用戶認(rèn)證

用戶可以偽裝成其他用戶入侵到一個HDFS或者M(jìn)apReduce集群上。

DataNode上沒有認(rèn)證

Datanode對讀入輸出并沒有認(rèn)證。導(dǎo)致如果一些客戶端如果知道block的ID，就可以任意的訪問DataNode上block的數(shù)據(jù)

JobTracker上沒有認(rèn)證

可以任意的殺死或更改用戶的jobs，可以更改JobTracker的工作狀態(tài)

Hadoop通過kerberos安全認(rèn)證的分析

——服務(wù)器到服務(wù)器的認(rèn)證問題

沒有DataNode,TaskTracker的認(rèn)證

用戶可以偽裝成datanode,tasktracker，去接受JobTracker,Namenode的任務(wù)指派。2）Kerberos解決方案kerberos實(shí)現(xiàn)的是機(jī)器級別的安全認(rèn)證，也就是前面提到的服務(wù)到服務(wù)的認(rèn)證問題。事先對集群中確定的機(jī)器由管理員手動添加到kerberos數(shù)據(jù)庫中，在KDC上分別產(chǎn)生主機(jī)與各個節(jié)點(diǎn)的keytab(包含了host和對應(yīng)節(jié)點(diǎn)的名字，還有他們之間的密鑰)，并Hadoop通過kerberos安全認(rèn)證的分析并將這些keytab分發(fā)到對應(yīng)的節(jié)點(diǎn)上。通過這些keytab文件，節(jié)點(diǎn)可以從KDC上獲得與目標(biāo)節(jié)點(diǎn)通信的密鑰，進(jìn)而被目標(biāo)節(jié)點(diǎn)所認(rèn)證，提供相應(yīng)的服務(wù)，防止了被冒充的可能性。

——解決服務(wù)器到服務(wù)器的認(rèn)證

由于kerberos對集群里的所有機(jī)器都分發(fā)了keytab，相互之間使用密鑰進(jìn)行通信，確保不會冒充服務(wù)器的情況。集群中的機(jī)器就是它們所宣稱的，是可靠的。

防止了用戶偽裝成Datanode，Tasktracker，去接受JobTracker，Namenode的任務(wù)指派。

Hadoop通過Kerberos安全認(rèn)證的分析

——解決client到服務(wù)器的認(rèn)證

Kerberos對可信任的客戶端提供認(rèn)證，確保他們可以執(zhí)行作業(yè)的相關(guān)操作。防止用戶惡意冒充client提交作業(yè)的情況。

用戶無法偽裝成其他用戶入侵到一個HDFS或者M(jìn)apReduce集群上

用戶即使知道datanode的相關(guān)信息，也無法讀取HDFS上的數(shù)據(jù)

用戶無法發(fā)送對于作業(yè)的操作到JobTracker上

——對用戶級別上的認(rèn)證并沒有實(shí)現(xiàn)

無法控制用戶提交作業(yè)的操作。不能夠?qū)崿F(xiàn)限制用戶提交作業(yè)的權(quán)限。不能控制哪些用戶可以提交該類型的作業(yè)，哪些用戶不能提交該類型的作業(yè)。這個可以通過ACL