聊聊Hadoop安全认证体系:Delegation Token和Block Access Token

最新推荐文章于 2025-05-25 00:42:05 发布
最新推荐文章于 2025-05-25 00:42:05 发布
阅读量3.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Hadoop HDFS 文章标签: 认证 token认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Androidlushangderen/article/details/84594608
本文介绍了Hadoop中的两种安全认证体系:Delegation Token和Block Access Token,作为对Kerberos认证的补充。Delegation Token允许用户在验证后使用授权令牌,避免反复认证;Block Access Token则是一种轻量级的块访问认证机制,确保客户端对数据块的合法访问。两者都在Hadoop中起到了关键的安全作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。

Kerberos认证

Kerberos认证是业界较为成熟的一种认证体系,其中涉及到三方的通信。大致过程可描述为如下两大步骤:

  • 用户请求KDC(秘钥管理中心服务),表明自己身份以及想要访问的服务,如果身份验证通过,获取凭证(TGT)
  • 得到TGT后,用户再凭借此请求实际服务

那么这套认证过程会有什么问题呢?主要有以下几点:

第一点,过程比较复杂,认证过程还涉及到第三方服务。
第二点,KDC服务可能存在单点瓶颈问题,尤其当有大量的用户请求需要通过KDC来获取TGT凭证时。

于是乎,一种简单化的认证体系衍生而出了。

Delegation Token

这里我们说的Delegation Token指的是一种“授权”认证,它和Kerberos的授权相比,不同的点在于:用户被“授权”了一次之后,可以接着使用“授权令牌”在后续的请求过程中,无须再次“授权”过程。当然,这里会存在令牌过期更新的问题。

Hadoop内部的Delegation Token的产生,初期是由NameNode和用户之间共享的一个安全秘钥,经过一系列的运算,得到。而这个安全秘钥,只允许由用户和NameNode私自保管,是被保护起来的。

每个用户经过初期验证后,会从NN中获取一个授权Token。同时用户需要告知NN它的Token更新者(Renewer)是谁。这样的话,每当令牌失效的时候,NN只允许给定的用户进行更新令牌期限的操作。这个更新者信息

最低0.47元/天 解锁文章

200万优质内容无限畅学
HDFS block access token认证机制
走在前往架构师的路上
12-28 2161
文章目录前言Block access tokenHDFS block access token的原理 前言 在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实
hadoop中的token认证
hncscwc的博客
05-12 1544
周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。【Hadoop为什么需要Tokenhadoop最初的实现中并没有认证机制,这意味着存储在hadoop中的数据很容易泄露。后来,基于kerberos认证的安全特性被加入到hadoop中,但是基于kerberos的认证在使用过程中,会存在以下问题:过程比较复杂,认证过程中还需要涉及到...
Delegation Token
iteye_423的博客
02-22 598
原创,转载请注明出处 若设置了dfs.block.access.token.enable=true时,启动时的日志中: 会有这样两条日志: 2013-02-21 19:59:07,006 INFO org.apache.hadoop.hdfs.server.blockmanagement.BlockManager: dfs.block.access.token.enable=true ...
Hadoop入门学习(一)—— HDFS分布式文件系统
最新发布
weixin_44361163的博客
05-25 1511
Hadoop是一个Apache基金会所开发的分布式系统基础架构主要解决:海量数据的存储分析计算问题Hadoop的优势:(1)高可靠性:Hadoop底层维护多个数据副本,所以即使Hadoop某个计算元素或存储出现故障,也不会导致数据的丢失。(2)高扩展性:在集群间分配任务数据,可方便的扩展数以干计的节点。(3)高效性:在MapReduce的思想下,Hadoop是并行工作的,以加快任务处理速度。(4)高容错性:能够自动将失败的任务重新分配。Hadoop的功能主要有三个:分布式存储、计算调度。
【Kafka】Delegation Token
metaldong的博客
09-20 388
DeleagtionToken(委托令牌)是Keberos认证提出的一种轻量级认证机制,采用委托令牌的方式直接进行权限的精细控制。委托令牌的特点:短期有效,无需暴露用户凭证。
Hadoop安全认证
Na2S2O3的博客
07-04 462
Hadoop安全背景
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
在SparkHadoop生态系统中,安全机制通常采用Kerberos进行身份验证,以确保数据的安全传输。当使用Kerberos时,系统会生成一种称为Delegation Tokens(委托令牌)的临时凭证,这些令牌用于在各个服务之间进行无密码...
Hadoop安全机制解析:从SASL到Kerberos与OAuth
- Delegation Token:这是Hadoop中最常见的Token,用于跨服务的身份验证,如HDFSYARN之间。Delegation Tokens由认证的服务颁发,并且可以被用户传递给其他服务,以便进行身份验证。 - SaslToken:SASL(Simple ...
Ozone Security:基于证书的Block Access Token认证
走在前往架构师的路上
05-06 1472
文章目录前言Block Access Token的作用Block Acess Token的生成证书的生成Block Access Token流程图 前言 在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上HDFS的内部实现还是有...
Hadoop之HA验证
海贼的船
09-30 1618
引言: 前面转载过一篇团队兄弟【伊利丹】写的NN HA实验记录,我也基于他的环境实验了NN HA对于Client的透明性。见 http://www.linuxidc.com/Linux/2014-09/106290.htm 本篇文章记录的是亲自配置NN HA的详细全过程,以及全面测试HA对客户端访问透明性的全过程,希望对大家有帮助。 实验环境: Hadoop2.2.0的4节点集
Spark与hdfs delegation token过期的排查思路总结
三劫散仙
11-09 2969
hadoop delegation token的问题相对比较混乱复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
Hadoop安全机制探究
初心江湖路的博客
12-27 767
一、可能的安全问题 1、如果Hadoop服务不对用户或者服务进行认证,那么可能发生什么安全问题? HDFS文件权限检查被规避 攻击者可以伪装服务,对集群进行攻击 2、因为只需要BlockId即可读取节点的数据,而DataNode不强制对任何访问请求做访问控制。那么,任何人都可以随意的访问读写HDFS数据,这样就存在安全隐患。 二、Apache Hadoop安全团队使用的安全机制 基于Kerbe...
详解C#中的Delegate
Angelo Lee's Blog
01-04 909
<br />如果你想拿 C# 与其它“C家族”的语言做比较,C# 正有个不同寻常的特性,其在 C++ 或者 Java 里没有真正意义上的对应之物。<br />C# 是一个颇具争议的新兴语言,由 Microsoft 开发创造,以作为其 Visual Studio.NET 的基石,目前正处于第一个 Beta 版的发布阶段。C# 结合了源自 C++ Java 的许多特性。Java 社群对 C# 主要的批评在于,其声称 C# 只是一个蹩脚的 Java 克隆版本 ——与其说它是语言创新的成果,倒不如说
一文讲透hdfs的delegation token
hncscwc的博客
07-25 2510
【背景】前一段时间总结了hadoop中的token认证、yarn任务运行中的token,其中也都提到了delegation token。而最近也遇到了一个问题,问题现象是:flink任务运行超过七天后,由于宿主机异常导致任务失败,继而触发任务的重试,但接连重试几次都是失败的,并且任务的日志也没有聚合,导致无法分析问题失败的原因。最后发现是delegation token...
Hadoop参数汇总
01-04 1979
Hadoop参数汇总 @(hadoop)[配置] linux参数 以下参数最好优化一下: 文件描述符ulimit -n 用户最大进程 nproc (hbase需要 hbse book) 关闭swap分区 设置合理的预读取缓冲区 Linux的内核的IO调度器 JVM参数 JVM方面的优化项Hadoop Performance Tuning Guide Hadoop参数大全 适用
Hadoop Delegation Token
zincooo的博客
03-08 1202
hadoop 委托令牌
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值