CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理

原创 已于 2023-03-23 16:19:12 修改 · 3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CDH #kerberos #sentry #大数据 #安全认证

于 2023-02-02 21:35:42 首次发布
本文详细介绍了如何在CDH数仓项目中搭建Kerberos安全认证,包括Kerberos的概念、安装配置、主体认证以及在不同节点上的应用。接着,文章讨论了Sentry权限管理在Hadoop生态中的作用,以及如何在Hive和Impala中集成Sentry进行权限控制。通过实例展示了如何创建用户角色、分配权限,并通过HUE和命令行进行权限测试,确保安全环境下的数据操作。

0 说明

本文基于《CDH数仓项目(一) —— CDH安装部署搭建详细流程》《CDH数仓项目(二) —— 用户行为数仓和业务数仓搭建》和搭建CDH数仓。本章节主要介绍基于CDH数仓的Kerberos认证和Sentry权限管理

1 Kerberos安全认证

1.1 Kerberos概述

Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

1.2 Kerberos概念

Kerberos中有以下一些概念需要了解:
1)KDC:密钥分发中心,负责管理发放票据,记录授权。
2)Realm:Kerberos管理领域的标识。
3)principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl的形式为:主名称/实例名@领域名。
4)主名称:主名称可以是用户名或服务名,表示是用于提供各种网络服务(如hdfs,yarn,hive)的主体。
5)实例名:实例名简单理解为主机名。

1.3 Kerberos认证原理

在这里插入图片描述

2 Kerberos安装

2.1 server节点安装kerberos相关软件

server节点只需安装一个节点即可,这里安装在chen102节点上

yum install -y krb5-server krb5-workstation krb5-libs

查看安装结果

rpm -qa | grep krb5

在这里插入图片描述

2.2 client节点安装

client节点可以安装多个

yum install -y krb5-workstation krb5-libs

在这里插入图片描述

2.3 配置Kerberos

需要配置的文件有两个为kdc.conf和krb5.conf , kdc配置只是需要Server服务节点配置,即chen102.
1) kdc配置

vim /var/kerberos/krb5kdc/kdc.conf

在这里插入图片描述
说明:

CHEN.COM:realm名称,Kerberos支持多个realm,一般全用大写。
acl_file:admin的用户权。
admin_keytab:KDC进行校验的keytab。
supported_enctypes:支持的校验方式,注意把aes256-cts去掉,JAVA使用aes256-cts验证方式需要安装额外的jar包,所有这里不用

2) krb5文件配置

vim /etc/krb5.conf

在这里插入图片描述

修改内容同步到集群其他节点

default_realm:默认的realm,设置 Kerberos 应用程序的默认领域,必须跟要配置的realm的名称一致。
ticket_lifetime:表明凭证生效的时限,一般为24小时。
renew_lifetime : 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。
udp_preference_limit= 1:禁止使用 udp,可以防止一个 Hadoop 中的错误。
realms:配置使用的 realm,如果有多个领域,只需向 [realms] 节添加其他的语句。
domain_realm:集群域名与Kerberos realm的映射关系,单个realm的情况下,可忽略。

2.4 生成Kerberos数据库

在server节点执行

 kdb5_util create -s

创建完成后/var/kerberos/krb5kdc目录下会生成对应的文件

ls /var/kerberos/krb5kdc/

在这里插入图片描述

2.5 赋予Kerberos管理员所有权限

vim /var/kerberos/krb5kdc/kadm5.acl

#修改为以下内容:
*/admin@CHEN.COM      *

说明:
*/admin:admin实例的全部主体
@HADOOP.COM:realm
*:全部权限
这个授权的意思:就是授予admin实例的全部主体对应CHEN.COM领域的全部权限。也就是创建Kerberos主体的时候如果实例为admin,就具有CHEN.COM领域的全部权限,比如创建如下的主体user1/admin就拥有全部的CHEN.COM领域的权限。

2.6 启动Kerberos服务(server节点执行)

启动krb5kdc

systemctl start krb5kdc

启动kadmin

 systemctl start kadmin

在这里插入图片描述

设置开机自启

systemctl enable krb5kdc

systemctl enable kadmin

查看是否设置为开机自启

systemctl is-enabled krb5kdc

systemctl is-enabled kadmin

注:启动失败时可以通过/var/log/krb5kdc.log和/var/log/kadmind.log来查看。
在这里插入图片描述

2.7 创建管理员主体/实例

kadmin.local -q "addprinc admin/admin"

在这里插入图片描述

2.8 kinit管理员验证

kinit admin/admin
klist

在这里插入图片描述
其他节点尝试
在这里插入图片描述

2.9 Kerberos数据库操作

2.9.1 登录kerberos数据库

1)本地登录(无需认证)

kadmin.local

在这里插入图片描述

2)远程登录(需进行主体认证,先认证刚刚创建的管理员主体)

kadmin

在这里插入图片描述

2.9.2 创建kerberos主体

kadmin.local -q "addprinc test/test"

2.9.3 修改主体密码

kadmin.local -q "cpw test/test"

在这里插入图片描述

2.9.4 查看所有主体


                

                
                
        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
CDHKerberos 安全认证 Sentry 权限控制管理(一)

				
			

			

				

					予挚之的博客
				

				

					04-10
					
					1398
					
				

			

		

		

			
				
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目Sentry是一个基于角色的粒度授权模块,提供了对Hadoop集群上经过身份验证的用户提供了控制强制访问据或据特权的能力。Kerberos+Sentry

			
		

	



                

            
              



	

		

			

				
					
CDH启用kerberos认证

				
			

			

				

					eyeofeagle的博客
				

				

					01-20
					
					6801
					
				

			

		

		

			
				
文章目录1,集群架构2, 安装kerberos服务3, CDH集群启用kerberosa, Administrator: securityb, Enable Kerberosc, 确认并勾选d, 填写kdc信息e, 略过CDH管理kerberos, 填写CDH管理员账号4, 使用kerberos认证,调用hive,hbase等服务
1,集群架构




角色
主机ip
kerberos软件包
说明...

			
		

	



              


  
              

                


	

		

			

				
					
CDH6安装kerberos(一)kerberos概念理解

				
			

			

				

					独孤飞磊
				

				

					11-30
					
					1727
					
				

			

		

		

			
				
一. Kerberos概述
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Hadoop使用Kerberos作为用户服务的强身份验证身份传播的基础。Kerberos是一种计算机网络认证协议,它允许某实体在非安

			
		

	





	

		

			

				
					
CDH项目() —— 集群性能测试/资源管理/清理CDH集群

				
			

			

				

					不以物喜的博客
				

				

					02-02
					
					2192
					
				

			

		

		

			
				
CDH项目,进行集群性能测试、资源备份、资源管理、清理CDH集群

			
		

	



		

			
		



	

		

			

				
					
大数据CDH(14) | 安全之Kerberos安全认证

				
			

			

				

					Knight
				

				

					10-11
					
					1410
					
				

			

		

		

			
				
Kerberos据库操作
登录Kerberos据库



			
		

	





	

		

			

				
					
CDH开启Kerberos+Sentry权限控制-实施配置指南

				
			

			

				

					12-02
				

			

		

		

			
				
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程

			
		

	





	

		

			

				
					
CDH5安装Kerberos认证

				
			

			

				

					IT晓白
				

				

					12-30
					
					1917
					
				

			

		

		

			
				
BUG
BUG写在前面:Kerberos 1.15.1-18.el7.x86_64 版本有BUG,不要安装这个版本!!!!
如果已安装上面描述版本不要怕,这里有一篇解决方案升级kerberos
1.系统环境
1.操作系统:CentOS Linux release 7.5.1804 (Core)
2. CDH: 5.16.2-1.cdh5.16.2.p0.8
3. Kerberos:1.15.1-50.el7x86
4.采用root用户进行操作
2.KDC服务安装及配置
2.1.安装KDC服务
在Cloude

			
		

	





	

		

			

				
					
CDH6.3.2-组件安装&安全认证

				
			

			

				

					dzqxwzoe的博客
				

				

					01-31
					
					1102
					
				

			

		

		

			
				
1.选择自定义。2.选择HDFS ZK YARN然后点继续。3.选择安装的主机。!blog.csdnimg.cn/72589eb017f1412bb1ceca9a06b4180f.png)4.审核更改默认就行,点继续。5.配置HDFS的HA。安装好以后点击hdfs进入实例就能够看到启动了高可用。6.启动YARN的高可用。!

			
		

	





	

		

			

				
					
0028-如何在CDH未启用认证的情况下安装及使用Sentry

				
			

			

				

					Hadoop_SC的博客
				

				

					11-20
					
					910
					
				

			

		

		

			
				

温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。

1.文档编写目的

CDH平台中的安全,认证Kerberos/LDAP)是第一步,授权(Sentry)是第二步。如果要启用授权,必须先启用认证。但在CDH平台中给出了一种测试模式,即不启用认证而只启用Sentry授权。但强烈不建议在生产系统中这样使用,因为如果没有用户认证,授权没有任何意义形同虚设,用户可以随意使用任何超级用户登...

			
		

	





	

		

			

				
					
安装kerberos认证cdh环境

					
最新发布

				
			

			

				

					南城旧巷的博客
				

				

					04-08
					
					501
					
				

			

		

		

			
				
通过docker,安装kerberos认证cdh据库

			
		

	





	

		

			

				
					
Kerberos安全认证

				
			

			

				

					weixin_41100967的博客
				

				

					04-17
					
					741
					
				

			

		

		

			
				
CDH启用kerberos参考链接: https://www.cloudera.com/documentation/enterprise/5-8-x/topics/security.html_kerberosadd_policy。Principal(hdfs,yarn,,hbase,hive等)的更新生命期等,点击“继续”进入Cloudera Manager的“管理”-> “安全”界面->启用Kerberos。必须之前创建的账号一致,点击“继续”,等待启用Kerberos完成,点击“继续”

			
		

	





	

		

			

				
					
cdh认证

				
			

			

				

					eric_lee的专栏
				

				

					02-05
					
					1015
					
				

			

		

		

			
				
http://heipark.iteye.com/category/139122

			
		

	





	

		

			

				
					
CDH 6.2.0启用kerberos认证

				
			

			

				

					weixin_45682234的博客
				

				

					07-06
					
					899
					
				

			

		

		

			
				
1. 整体说明
集群主机角色划分(cdh6.2.0(续))
n76.aa-data.cn作为master节点,安装kerberos Server
其他节点作为slave节点,安装kerberos client
2. 安装 Kerberos
在 n76.aa-data.cn上安装 krb5、krb5-server  krb5-client。
yum install krb5-server -y
#klist等命令找不大时执行下面安装
yum install -y krb5-server krb5-works

			
		

	





	

		

			

				
					
企业大数据CDH集群安全----sentry

				
			

			

				

					m0_54082598的博客
				

				

					04-24
					
					2206
					
				

			

		

		

			
				
Sentry安装

1、cm中选择添加服务,选择sentry





2、选择要安装sentry的主机





3、配置据库





HDFS配置
开启启动访问控制列表,选中打勾





开启检查HDFS权限服务









开启sentry服务











hive配置
修改hive配置参,搜索sentry-site







添加参







搜索sentrysentry服务选择sentry







搜索Hive Impersona...

			
		

	





	

		

			

				
					
CDH6.3.2集成Kerberos

				
			

			

				

					热情、奔放、快乐编程!
				

				

					09-03
					
					1139
					
				

			

		

		

			
				
参考:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cdh_sg_browser_access_kerberos_protected_url.html#topic_6_2__section_vj5_gwv_ls。禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启了Kerberos的组件的配置。1.连接你的集群krb5kdckadmin服务所在的机器,复制/etc/krb5.conf中的配置。

			
		

	





	

		

			

				
					
Apache Sentry架构介绍

				
			

			

				

					weixin_33709364的博客
				

				

					04-08
					
					1106
					
				

			

		

		

			
				
介绍
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以Hive/Hcatalog、Apache Solr Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFSHBase。
特性...

			
		

	





	

		

			

				
					
CDH认证考试

				
			

			

				

					仗贱走天涯
				

				

					04-28
					
					2595
					
				

			

		

		

			
				
https://www.cnblogs.com/davidzhu/category/1344548.html


			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 4

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值