第十章 构建Hadoop集群
10.4 安全性
- 早期版本的Hadoop无法阻止某个恶意用户假冒root身份访问或者删除集群中的某些数据
- Hadoop缺乏一个安全的认证机制,以确保正在操作集群的用户全是所声称的安全用户
- 使用Kerberos (一个成熟的开源网络认证协议)来实现用户认证,Kerberos的职责在于坚定登录账号是否就是所声称的用户,Hadoop则决定用户到底拥有多少权限。
10.4.1 Kerberos和hadoop
- 使用Kerberos时,客户端需要三个步骤获取到服务
- 认证,获取票据, 有效期10个小时或者更久. (此步骤需要用户输入账号/密码)
- 授权
- 服务请求
10.4.2 委托令牌
- 客户端首次访问服务器需要进行Kerberos认证,认证通过后可以得到一个由对应namenode唯一发放的委托令牌,后续调用出示委托令牌即可
10.4.3 其他安全性改进
------------恢复内容结束------------