hadoop中的token认证

最新推荐文章于 2025-09-26 21:50:47 发布
原创 最新推荐文章于 2025-09-26 21:50:47 发布 · 1.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #python #数据库 #分布式 #大数据

周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。

5dc4ce39313cdfb4ae0ecbe997114aca.png


【Hadoop为什么需要Token】

hadoop最初的实现中并没有认证机制,这意味着存储在hadoop中的数据很容易泄露。后来,基于kerberos认证的安全特性被加入到hadoop中,但是基于kerberos的认证在使用过程中,会存在以下问题:

  • 过程比较复杂,认证过程中还需要涉及到第三方的服务

  • kdc服务存在单点问题(不管是可靠性,还是性能瓶颈),尤其是当有大量用户请求需要通过kdc来获取tgt票据时。

因此Token认证被引入充当kerberos的补充,在兼顾安全认证的同时,性能没有较大的损耗。

在hadoop中,token主要包括DelegationToken,以及其他一些token,例如之前文件介绍过的BlockToken,以及yarn中一系列的token。

【Token是什么】

所谓token,本质上就是服务端生成的一串加密字符串,以作为客户端请求的一个“令牌”。  通常而言,用户第一次通过使用账号密码成功登录后,服务端会生成一个token及token的有效时间返回给客户端,此后,客户端只需要在有效时间内带上这个token发送请求即可。而不需要再次带上用户名和密码。

token具有以下优点:

  • 随机性,不可预测性,时效性,无状态,跨域等特点

  • 完全有应用管理,可以避开同源策略

  • 可以避免CSRF攻击

  • 可以在多个服务间共享

【SASL是什么】

token认证通常是在SASL中进行的,接下来就简单介绍下SASL。

简单认证与安全层(Simple Authentication And Security Layer)是一个在网络协议中用来认证和数据加密的框架。它把认证机制从程序中分离开,理论上使用SASL的程序协议都可以使用SAS

最低0.47元/天 解锁文章
hadoop】一文讲透hdfs的delegation token
九师兄
11-12 1541
转载并且补充:一文讲透hdfs的delegation token 最近我也在研究这个,学习一下。我最近在做FLink kerberos认证。我在flink配置文件中配置正确的认证方式,然后我都是RichSinkFunction 我在RichSinkFunction中构建了new KafkaProducer 自己构建了客户端,我还需要给我New的客户端传入相关的认证信息吗?还是不用了 然后搜索到一篇文章说如下 所以在这里向了解一下tokern是什么?凭什么能做到一次认证呢?为啥我的不行。我的在open方法创建
Hadoop的安全/权限管理
肖韬的BLOG
05-20 1万+
为什么要注重权限管理Hadoop集群装好了,其自身几乎没有对安全/用户权限的配置。用户可以轻易地伪造自己的身份来破坏Hadoop集群,例如,从client伪装成一个hdfs用户删除HDFS中的全部数据,或者伪装成mapred用户提交一个恶意的job。对于商业用户而言,数据安全是最重要的。所以,对于Hadoop集群而言,必须进行一定的安全配置,保证数据和集群的安全。
Hadoop HDFS-认证(Kerberos) 简介及入门
最新发布
09-26 356
前面我们介绍了HDFS的用户概念,很多的时候就是为了权限控制,但是HDFS超级管理员的本质由配置决定,而非用户本身。手动创建 hdfs 用户不会自动获得超管权限,需同时满足以下条件: 进程启动身份:NameNode 必须由 hdfs 用户启动(关键!) 超级组声明:在 hdfs-site.xml 声明超级组 用户组归属:hdfs用户需在 supergroup 组中
聊聊Hadoop安全认证体系:Delegation Token和Block Access Token
走在前往架构师的路上
11-29 3611
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
Hadoop安全认证
m0_52931616的博客
09-05 3412
hadoop安全认证
Hadoop安全认证(1)
行人事,知天命
08-02 5634
前言 在2014年初,我们将线上使用的 Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显得颇为重要。说到
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2501_90403933的博客
01-26 1161
dfs.namenode.name.dir /data/nn Path on the local filesystem where the NameNode stores the namespace and transactions logs persistently. <?xml version="1.0"?> yarn.log.server.url https://bi
9、Hadoop用户配置与认证全解析
y4z5a6b7的博客
07-15 155
本文深入解析了Hadoop用户配置与认证机制,涵盖了用户配置要求、Kerberos认证流程、用户名和密码认证、令牌机制、模拟机制以及各组件的Kerberos配置步骤。同时,文章总结了配置流程、常见问题解决方法,并提供了Hadoop安全最佳实践,旨在帮助用户提升Hadoop集群的安全性与可靠性。
Hadoop 配置 Kerberos 认证
zhy1379的博客
10-15 6892
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop认证机制和 Kerberos 认证协议做个简单
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN owner=xxxx@xxxx.com, renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, masterKeyId=1583) is expired, current time: 2020-02-17 16:37:40,567+0800 expected renewal time: 2020-02-17
Hadoop Delegation Token
zincooo的博客
03-08 1261
hadoop 委托令牌
Hadoop Delegation Tokens详解
victorzzzz的专栏
07-30 2589
转载自:《Hadoop Delegation Tokens详解》 https://www.jianshu.com/p/617fa722e057 本文是cloudera公司的一篇技术博客,原文地址:Hadoop Delegation Tokens Explained 译文 Hadoop Security在2009年被设计并实现,此后趋于稳定。但是,由于相关文档不足,当出现问题时很难理解并进行d...
基于 Kerberos 认证Hadoop Token 过期问题 Debug 过程
Chdaring的博客
08-30 1万+
1 Kerberos Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题。 1.1 Kerberos可以用来做什么 简单地说,Kerberos提供了一种单点登录(SSO)的方法。考虑这样一个场景,在一个网络中有不同的服务器,比如,打印服务器、邮件服务...
HDFS内部的认证机制
走在前往架构师的路上
06-05 1万+
前言 数据的安全性是一直被大家所重视的.对于一个存有大规模数据量的成熟企业来说,如何做到数据不丢失,不损坏,不窃取就显得格外重要了.而HDFS恰恰满足了”海量数据规模”的特点,所以如果我们用HDFS存储大量的非结构化的数据,我们如何保证其中数据的安全性呢?在之前的文章中,有提到过一个”Encryption Zone”数据加密空间的概念.Encryption Zone可以保证用户在指定的加密空
CDH6.3.2之Kerberos安全认证
ytp552200ytp的博客
11-12 2355
问题导读: 1、Kerberos认证原理是什么? 2、Kerberos如何部署? 3、CDH集群如何启用Kerberos?4、如何在Kerberos安全环境使用HFDS? 01 PART Kerberos简介 Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、...
hadoop rpc增加认证
07-08
Hadoop RPC 中增加认证机制,可以通过以下步骤实现: 1. **修改服务端代码以支持认证逻辑** 在 Hadoop 的 Thrift 服务器初始化过程中,可以插入认证检查逻辑。例如,在 `ImpalaServer::HandleRpcs()` 方法中调用 `AuthenticateUser()` 函数来验证用户身份[^1]: ```cpp void ImpalaServer::HandleRpcs() { ... rpc::ThriftServer* processor = new rpc::ThriftServer(this, server_address_, num_acceptors_, port_); processor->setProtocolFactory(protocol_factory_); // Start listening for incoming requests processor->serve(); Shutdown(); VLOG(1) << "RPC server started"; AuthenticateUser("admin", ""); // TODO: Remove hardcoding admin account once Authn enabled. } ``` 这种方式适用于简单的硬编码认证逻辑,实际应用中应结合 Kerberos 或 LDAP 等更安全的认证机制。 2. **使用 Kerberos 实现安全认证** Hadoop 原生支持基于 Kerberos 的安全认证机制。启用 Kerberos 需要在配置文件中设置相关属性,如 `hadoop.security.authentication` 设置为 `kerberos`。此外,需要生成和分发密钥表(keytab)文件,并在服务启动时指定 principal 和 keytab 路径。 3. **自定义认证协议与 Token 机制** 可以通过扩展 Thrift 协议或使用 SASL(Simple Authentication and Security Layer)协议来实现自定义认证机制。SASL 提供了多种认证机制,包括 DIGEST-MD5、PLAIN、GSSAPI 等,适合用于 RPC 通信中的身份验证。 4. **集成外部认证系统(如 LDAP、OAuth)** 如果已有企业级认证系统,可将其集成到 Hadoop RPC 中。例如,通过编写自定义的 `LoginModule` 来实现 LDAP 认证,或者在客户端请求时携带 OAuth Token 并由服务端验证其有效性。 ### 示例:Kerberos 认证配置 ```xml <!-- core-site.xml --> <property> <name>hadoop.security.authentication</name> <value>kerberos</value> </property> <property> <name>hadoop.security.authorization</name> <value>true</value> </property> ``` ```bash # 启动服务时指定 Kerberos principal 和 keytab 文件 hadoop-daemon.sh start namenode --config /etc/hadoop/conf \ -Djava.security.auth.login.config=/etc/hadoop/conf/hdfs_jaas.conf ``` 其中 `hdfs_jaas.conf` 内容如下: ```conf Server { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true keyTab="/etc/security/keytabs/hdfs.keytab" principal="hdfs/_HOST@REALM"; }; ``` ### 总结 Hadoop RPC 支持多种认证机制,从基本的身份验证到 Kerberos 安全模型均可实现。开发者可以根据具体需求选择合适的方式进行集成和部署。
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值