Kerberos知识点
hive jdbc连接串中的principal参数值,为hive-site.xml中hive.server2.authentication.kerberos.principal配置项的值;比如:
<property>
<name>hive.server2.authentication.kerberos.principal</name>
<value>hive/_HOST@YOUR_COMPANY.COM</value>
</property>
Kerberos的目标是在三方之间(包含Client/Server)努力营造一种互信关系。通过验证,可确保网络交互时请求发送者和接收者的身份真实,还可以检验来回传递数据的有效性(可选),并在传输过程中对数据加密(可选)。和其他认证方案不同的是,Kerberos服务侧重于在通信前双方身份的认定工作。
主体(Principal):参与认证的安全个体,是KDC唯一区分或分配票证的标识。可以理解客户端或运行服务端的服务。
所有的访问者和被访问者都是Principal实体,可以是用户、运行中的服务、节点资源等。每个Principal都有属于自己的主体名称,主体名称由3部分构成:主名称、实例和域。它们的组合方式是“主名称/实例@域”。
实例:可以理解为是主体所在位置。如果主名称是用户,实例可选;对于服务主体,实例则是必需。
Client获取到TGT后,会缓存到本地/tmp目录,便于再利用。
服务主体的格式一般是“ServiceName/_HOST@域”,如nn/_HOST@HADOOP.123.COM,_HOST代表通配符,会在获取TGT时被本机实例替换。
在配置中指定Namenode的Principal是“nn/_HOST@HADOOP.123.COM”,在发送请求前,会将本地host替换为_HOST。真正的Principal是“nn/hadoop-dev4.jdlt.org@HADOOP.123.COM”。
以上出处:https://weread.qq.com/web/reader/4b932650813ab80dag016370k9f6326602389f61408e3715
