hadoop核心-Kerberos安全机制
在大数据领域,安全永远是一个绕不开的话题。
对于一个简单安装的hadoop集群,我们认为有如下安全隐患:
1、可以人为添加一个客户端节点,并以此假冒的客户来获取集群数据。
对于一个假冒的客户端节点,成功加入集群就能够伪装 datanode 让得到 namenode 指派的任务和数据。
2、创建hdfs用户账户,就可以得到hadoop文件系统的最高权限。
kerberos主要用来做网络通讯中的身份认证,帮助我们高效、安全的识别访问者。
kerberos认证流程:
1、发送请求,表明要访问什么服务,使用自己的密码来对请求进行加密,得到一个临时的票据。
2、拿着临时票据,去票据中心得到一个真实的票据(ticket)。
3、服务提供者和kerberos进行通讯验证ticket的合法性、有效期(ticket只允许访问特定的服务在特定的时间)。
4、验证通过提供服务。
5、超出ticket的有效期后或者服务再次访问需要重新申请。
结论:kerberos的身份认证其实是基于ticket来完成的。客户端想要访问某些服务,最主要就是得到一张ticket。
kerberos执行流程:
原文链接:https://blog.csdn.net/weixin_38233104/article/details/122963237