kerberos认证:生成keytab文件并实现java代码用keytab登录hadoop集群

原创 于 2024-06-26 16:15:22 发布 · 1.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #hadoop #php

Kerberos介绍:
Kerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。Kerberos 认证的主要特点包括:

票据(Tickets):

用户首先向认证服务器(AS)请求一个票据授权票(Ticket-Granting Ticket, TGT),然后使用 TGT 向票据授权服务器(Ticket-Granting Server, TGS)请求服务票据。
认证服务器(Authentication Server, AS):

AS 是 Kerberos 认证过程中的第一个服务,负责验证用户的身份,并发放初始的 TGT。
票据授权服务器(Ticket-Granting Server, TGS):

TGS 负责发放访问特定服务的票据。用户使用 TGT 向 TGS 请求服务票据。
服务票据(Service Ticket):

用户使用服务票据向目标服务进行认证,服务票据授权用户访问特定的服务。
密钥分发中心(Key Distribution Center, KDC):

KDC 通常包含 AS 和 TGS,负责分发密钥和票据。
Kerberos Realm:

一个 Kerberos 认证域,是一组受信任的用户和服务。
安全性:

Kerberos 通过加密技术确保认证过程中的数据安全,防止了密码在网络上的明文传输。
单点登录(Single Sign-On, SSO):

用户只需登录一次,就可以访问所有使用 Kerberos 认证的服务,无需重复输入凭据。
信任关系:

在 Kerberos 域内,用户和服务之间存在信任关系,允许用户访问域内的各种资源。
时间同步:

Kerberos 依赖于时间同步,因为票据都有时间戳,如果客户端和 KDC 之间的时间不同步,可能会导致认证失败。
Kerberos 认证广泛应用于企业和大型组织中,特别是在需要高度安全性和数据保护的环境中。例如,Hadoop 集群使用 Kerberos 进行节点和用户之间的安全认证。

默认情况下,Hadoop 集群是没有启用安全认证的,我们可以直接连接。然而,在生产环境中,Hadoop 集群通常会启用安全认证,例如 Kerberos 认证。在TBDS产品中创建hadoop集群时,可以选择是否开启kerberos认证,并且每个用户创建时,系统会生成一个keytab文件。
Kerberos中的用户认证,可通过密码或者密钥文件证明身份,keytab指密钥文件。Keytab文件作为向Kerberos系统提供服务的凭证,在不需要用户提供用户名和密码的情况下进行身份验证。

Java代码

import
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java系列:登陆Kerberos认证的HDFS集群查看HDFS特定目录
zhengzaifeidelushang的博客
01-21 1033
Hadoop集群采用了Kerberos认证,要使用Java访问HDFS、Hive或其他组件时,需要先进行认证登陆,才可以访问hdfs或者hive。 一、application.properties中指名登陆Kerberos认证的HDFS集群所需的信息 Hadoop集群名称 hadoop集群的core-site.xml配置文件 hadoop集群的hdfs-site.xml配置文件 Kerberos配置文件krb5.conf 指定kerberos认证过的用户 指定用户使用的keytab文件名,用户使用keyt
kerberoshadoop集群使用keytab认证的逻辑_centos 8 hadoop-2(1)
2301_82241942的博客
05-14 582
UserGroupInformation类中使用静态变量存放hadoop conf和已认证用户信息,所以只需要程序中认证一次,不同类不需要传递认证的user,只需要都到UserGroupInformation取即可。结果是利用环境变量设置的pricipal+keytab或者cache认证。入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!中依据此项配置,查询集群是否启动kerberos。改良内容就是通过配置环境变量的方法,文档中明确了:会默认加载类路径下的。中含有hadoop的安全配置。
(复盘)基于CentOS 7安装kerberos生成keytab文件
lmh1181243468的博客
04-05 1976
翻译:Kerberos一开始是为了20世纪80年代麻省理工学院的Athena项目而开发的,已经成长现在计算机网络方面部署的最为广泛的认证授权系统;Kerberos 目前随所有主要计算机操作系统一起提供,且具有独特的优势,可以成为分布式身份验证和授权问题的通用解决方案,该问题允许在联合企业和点对点社区内部和之间实现通用的“单点登录”。麻省理工学院为Apple Macintosh、Windows和Unix操作系统开发维护了Kerberos软件的实现
kerberoskerberos创建用户和keytab文件
Mrerlou的博客
08-15 3607
生成keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberoskeytab 文件。user01 为用户名。111111 为密码。
kerberos 生成新用户和 keytab 文件
骑着蜗牛向前跑的博客
02-04 1236
如果想让 Ranger 捕获到 test1 用户,需要将该用户添加到 linux 用户中。几分钟后 test1 会被 Ranger 自动捕获。
(复盘)基于CentOS 7安装kerberos生成keytab文件_centos 安装kerberos(1)
2401_84967954的博客
05-11 1245
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
ktutil编写生成keytab文件的脚本、通过keytab文件认证用户
不是一枚开发
02-18 1138
示例:为密码123456的hive用户,生成名称为hive.keytab认证文件生成keytab文件的脚本。
Hadoop部署和配置Kerberos安全认证
05-17
- 生成部署各个服务器的keytab文件 2. **步骤详解** - 登录Cloudera Manager - 进入主页面 -> 设置 -> 管理 -> Kerberos - 按照向导完成Kerberos配置 - 验证配置 #### 四、总结 通过本文介绍的方法,可以...
生成keytab脚本
qq_40302627的博客
05-21 1148
#!/bin/bash #判断目录是否存在 [ ! -d /cib/keytabs/users ] && mkdir /cib/keytabs/users user=$1 order=$2 path='/cib/keytabs/users' cd $path #生成keytab case $order in "add"){ if [ -n "$user" ];then echo "正在生成 $user.keytab" kadmin.local -q "addprinc-randkey
生成keytab文件,且能使用密码登录kerberos
qq_40302627的博客
01-28 446
提示输入密码的时候,输入密码即可
kerberosjava实现
06-07
java语言实现的简单的kerberos,可以对客户端进行AS,tgs的认证
Kerberos快速创建认证keytab文件
iisbeginner的博客
11-09 558
代码Kerberos快速创建认证keytab文件
kerberos java实现_Kerberos安全体系详解---Kerberos的简单实现
weixin_33960567的博客
02-16 2153
1. Kerberos简介1.1. 功能一个安全认证协议用tickets验证避免本地保存密码和在互联网上传输密码包含一个可信任的第三方使用对称加密客户端与服务器(非KDC)之间能够相互验证Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它不提供授权功能或者审计功能。1.2. 概念首次请求,三次通信方the Authentication Serverthe Ticket Gr...
java kerberos配置_[Java] Kerberos认证
weixin_33914777的博客
03-04 1747
先借用几句话,不代表我个人看法1.远离kerberos,珍爱生命,kerberoshadoop来说是个大坑,阿里用了之后,马上放弃了。2.kerberoshadoop来说是个大坑? 那阿里目前用什么做安全验证?刚开始接到这个任务的时候,需求是这样描述的:之前有个老HBase集群,现在准备迁移至新HBase集群,带了Kerberos,蛮简单的,加个认证就OK了,这周搞定(当时周四还是周五了都,而...
kerberos认证可以通过keytab文件认证用户
fanchw的专栏
07-07 7811
1.获取认证密码 klist -kt /etc/hyperbase1/conf/hyperbase.keytab [root@node11 ~]# klist -kt /etc/hyperbase1/conf/hyperbase.keytab Keytab name: FILE:/etc/hyperbase1/conf/hyperbase.keytab KVNO Timestamp Principal ---- ------------------- ------------
kerberoshadoop集群使用keytab认证的逻辑
lisacumt的专栏
03-08 1989
hadoop集群使用keytab认证的逻辑
java通过Kerberos认证方式连接hive
weixin_44144092的博客
05-05 3206
在数据源管理功能中,需要适配mysql、postgresql、hive等数据源。mysql和postgresql连接方式一致,只需要驱动和jdbcurl即可,而hive背后是大数据集群,多采用Kerberos的方式保护集群环境,要想与大数据集群正常交互,需要经过kdc认证获取ticket,因此获取hive连接前需要先通过Kerberos认证
Kerberos
guowei的博客
11-04 2292
kerberos身份认证过程:     第一步:账号和KDC互相认证;     账号A向KDC证明自己的身份:         1.账号A首先会把自己的密码hash,得到一把秘钥Kclt;         2.Kclt会把当前的时间戳加密,生成一个字符串;使用{时间戳}Kclt来表示;         3.将生成的字符串{时间戳}Kclt、账号A的信息,以及一段随机数作为请求发送给KDC。    ...
在MRS集群外使用keytab文件进行Kerberos认证需要注意哪些安全事项?
最新发布
07-22
<think>嗯,用户这次询问的是在MRS集群外部使用keytab文件进行Kerberos认证的安全注意事项。这个问题非常专业,涉及到企业级大数据平台的安全管理核心。 从用户引用的资料来看,ta应该是个运维工程师或者大数据平台管理员,正在处理跨集群认证的问题。之前我们讨论过Kafka的SASL_SSL端口,现在ta把关注点转向了更底层的认证安全。用户引用的三个材料分别涉及keytab路径、Java客户端配置和Spark作业认证实践,说明ta需要的是操作层面的安全指导。 keytab本质上就是数字化的密码凭证,其安全性比明文密码更高,但风险依然存在。我准备从物理安全、传输安全、访问控制等七个维度来组织建议。特别要注意提醒用户关于keytab文件权限的设置,600权限是底线,很多安全事故都源于权限过大。 用户可能还隐含了一个需求:如何在不降低安全性的前提下简化认证流程。比如ta提到的Spark案例中,每次都要手动kinit显然不适合自动化作业。这需要引入keytab托管服务或HSM硬件模块,不过这些属于进阶方案,首次回复可以先提个概念。 在技术细节上,需要强调keytab与principal的对应关系。引用[2]提到principal必须存在于keytab中,这个细节很多用户会忽略,导致认证失败。另外TGT生命周期管理也很关键,引用[3]展示的临时认证方式其实存在票据过期风险。 最后生成的四个衍生问题都紧扣实际运维场景:自动化续期解决票据过期,HSM应对合规审计,多用户场景的权限隔离,以及跨域认证的特殊配置。特别是跨域认证那个,如果用户后续问起,需要解释krb5.conf的domain_realm配置。</think>在 MRS 集群外部使用 keytab 文件进行 Kerberos 认证时,需严格遵守以下安全事项: --- ### 1. **Keytab 文件存储安全** - **最小化存储范围** 仅将 keytab 文件部署在必要的客户端服务器,禁止存储在共享目录或版本控制系统(如 Git)中[^2]。 - **文件权限控制** 设置严格的访问权限(推荐 `600`),确保仅限执行用户可读: ```bash chmod 600 /path/to/user.keytab chown <service_user>:<service_group> /path/to/user.keytab ``` - **加密存储(可选)** 敏感环境中建议使用加密文件系统(如 LUKS)或密钥管理服务(如 KMS)托管 keytab。 --- ### 2. **传输过程安全** - **禁用明文传输** 通过 **SCP/ SFTP/ HTTPS** 传输 keytab,禁止使用 FTP/Telnet 等未加密协议。 - **临时访问凭证** 若需第三方传输,使用临时凭证(如 AWS STS Token)限制有效期。 --- ### 3. **认证过程防护** - **避免硬编码 Principal** 不在代码/配置中明文写入 Principal 名称,改用变量注入: ```java // 错误示例 String principal = "zyn@HADOOP.HUAWEI"; // 正确做法(从环境变量读取) String principal = System.getenv("KERBEROS_PRINCIPAL"); ``` - **定期轮转 Keytab** 每 **30-90 天** 重新生成 keytab(通过 `ktutil` 或 MRS 管理台),旧文件立即销毁[^1]。 --- ### 4. **客户端环境安全** - **隔离运行环境** 在容器或独立虚拟机中运行认证客户端,限制网络访问(仅开放 MRS 集群所需端口)。 - **禁用调试日志** 关闭 Kerberos 调试输出(避免日志泄露敏感信息): ```properties # krb5.conf [libdefaults] kdc_timesync = 0 default_debug = false # 关闭调试日志 ``` --- ### 5. **审计与监控** - **操作审计** 记录 keytab 使用日志(如通过 `auditd` 监控文件访问)。 - **异常检测** 部署告警规则,监控异常认证行为(如高频失败登录)。 --- ### 6. **生命周期管理** - **按需分配 Keytab** 为不同服务创建独立 Principal 和 keytab,遵循最小权限原则[^3]。 - **即时吊销机制** 服务终止时,立即通过 KDC 吊销凭证: ```bash kadmin -q "delprinc -force zyn@HADOOP.HUAWEI" ``` --- ### 7. **TGT 缓存管理**(若使用 `kinit`) - **限制缓存时间** 使用 `-l` 参数缩短 Ticket-Granting Ticket (TGT) 有效期: ```bash kinit -kt user.keytab -l 8h zyn@HADOOP.HUAWEI # 8小时后自动过期 ``` - **自动销毁缓存** 任务结束时执行 `kdestroy` 清除凭据缓存。 --- > **关键总结**:Keytab 等效于密码,需像保护 root 密码一样防护其存储、传输和使用过程。通过 **最小化暴露范围+加密+审计轮转** 的三层策略降低风险[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值