KrbServer及LdapServer开源增强特性
集群内服务认证
在使用安全模式的MRS集群中,任意服务间的相互访问基于Kerberos安全架构方案。集群内某个服务(例如HDFS)在启动准备阶段的时候,会首先在Kerberos中获取该服务对应的服务名称sessionkey(即keytab,用于应用程序进行身份认证)。其他任意服务(例如YARN)需要访问HDFS并在HDFS中执行增、删、改、查数据的操作时,必须获取对应的TGT和ST,用于本次安全访问的认证。
应用开发认证
MRS各组件提供了应用开发接口,用于用户或者上层业务产品集群使用。在应用开发过程中,安全模式的集群提供了特定的应用开发认证接口,用于应用程序的安全认证与访问。例如hadoop-common api提供的UserGroupInformation类,该类提供了多个安全认证API接口:
- setConfiguration()主要是获取对应的配置,设置全局变量等参数。
- loginUserFromKeytab()获取TGT接口。
跨系统互信特性
MRS提供两个Manager之间的互信功能,用于实现系统之间的数据读、写等操作。