Políticas de autenticación
La plataforma de big data realiza autenticación de identidad de usuario para evitar que los usuarios no válidos accedan al clúster. El clúster proporciona capacidades de autenticación tanto en modo de seguridad como en modo normal.
Modo de seguridad
Los clústeres en modo de seguridad utilizan el protocolo de autenticación Kerberos para la autenticación de seguridad. El protocolo Kerberos admite la autenticación mutua entre clientes y servidores. Esto elimina los riesgos incurridos al enviar credenciales de usuario a través de la red para la autenticación simulada. En los clústeres, KrbServer proporciona soporte de autenticación de Kerberos.
Objeto de usuario de Kerberos
En el protocolo de Kerberos, cada objeto de usuario es un principal. Un principal completo consiste en nombre de usuario y nombre de dominio. En escenarios de O&M o desarrollo de aplicaciones, la identidad del usuario debe verificarse antes de que un cliente se conecte a un servidor. Los usuarios para operaciones de operación y mantenimiento se clasifican en usuarios hombre-máquina y máquina-máquina. La contraseña de los usuarios hombre-máquina se configura manualmente, mientras que la contraseña de los usuarios máquina-máquina se genera aleatoriamente por el sistema.
Autenticación de Kerberos
Kerberos admite la autenticación de contraseña y keytab. El período de validez de la autenticación es de 24 horas por defecto.
- Autenticación de contraseña: La identidad del usuario se verifica introduciendo la contraseña correcta. Este modo se utiliza principalmente en escenarios O&M donde se utilizan usuarios hombre-máquina. El comando de configuración es kinit Username.
- Autenticación de Keytab: Los archivos Keytab contienen información de credenciales encriptada y principal de los usuarios. Cuando se utilizan archivos keytab para la autenticación, el sistema utiliza automáticamente información de credenciales cifradas para realizar la autenticación y no es necesario introducir la contraseña de usuario. Este modo se utiliza principalmente en escenarios de desarrollo de aplicaciones de componentes en los que se utilizan usuarios máquina-máquina. La autenticación Keytab también se puede configurar mediante el comando kinit.
Modo normal
Los diferentes componentes de un clúster normal utilizan el modo de autenticación de código abierto nativo y no admiten el comando de autenticación kinit. FusionInsight Manager (incluidos DBService, KrbServer y LdapServer) utiliza el nombre de usuario y la contraseña para la autenticación. Tabla 1 enumera los modos de autenticación utilizados por los componentes.
|
Servicio |
Modo de autenticación |
|---|---|
|
ClickHouse |
Autenticación simple |
|
Flume |
Sin autenticación |
|
HBase |
|
|
HDFS |
|
|
HetuEngine |
|
|
Hive |
Autenticación simple |
|
Hue |
Autenticación de nombre de usuario y contraseña |
|
Kafka |
Sin autenticación |
|
Loader |
|
|
MapReduce |
|
|
Oozie |
|
|
Spark2x |
|
|
Storm |
Sin autenticación |
|
YARN |
|
|
ZooKeeper |
Autenticación simple |
Los modos de autenticación son los siguientes:
- Autenticación simple: Cuando el cliente se conecta al servidor, el cliente autentica automáticamente al usuario (por ejemplo, el usuario del sistema operativo root o omm) de forma predeterminada. La autenticación es imperceptible para el administrador o usuario del servicio, que no requiere kinit.
- Autenticación de nombre de usuario y contraseña: utilice el nombre de usuario y la contraseña de los usuarios humano-máquina en el clúster para la autenticación.
- Sin autenticación: cualquier usuario puede acceder al servidor de forma predeterminada.
