大数据平台安全解决方案PPT资料.pptx

大数据平台安全解决方案PPT资料.pptx

《大数据平台安全解决方案PPT资料.pptx》由会员分享，可在线阅读，更多相关《大数据平台安全解决方案PPT资料.pptx（30页珍藏版）》请在冰豆网上搜索。

认证服务（AS）和TGS。

AS和TGS一起处理受Kerberos保护的Hadoop集群的所有认证和访问请求。

Kerberos数据库存储主体和领域信息。

KerberosClient任何一个需要通过KDC认证的机器（或模块）。

比如客户端，需要做Kerberos认证的机器。

Kerberos基础,Kerberos核心概念Principal用于验证一个用户或者一个Service的唯一标识，相当于一个账号，需要为其设置密码。

当用户想要对Kerberos支持的集群进行身份验证时，管理服务生成票据。

该票据包含用户名（通常与用户主体相同），服务主体，客户端的IP地址和时间戳等信息。

票据具有一个可配置的最长生命周期和一个会话密钥。

用户还可以在特定时间内对票据续期。

Keytab文件包含一个或多个Principal以及其密码的文件，可用于用户登录。

一个包含一个或多个Principal及其密码的文件，可以代替输入密码进行验证。

keytab文件是一个安全文件，其中包含领域所有服务主体的密码。

每个Hadoop服务都要求在所有主机上放置一个keytab文件。

当kerberos需要更新服务TGT时，它会查找keytab文件。

Kerberos基础,Kerberos核心概念Realm（域）由KDC以及多个KerberosClient组成的网络，即认证的域。

域是认证用户的基本管理域，用于建立管理服务器对用户，主机和服务进行身份验证的边界。

每个hadoop用户被分配到一个特定的域。

通常用大写字母指定一个域，例如YINZHENGJIE.COM。

可以有多个KDC，因此在单个网络中可以有多个域。

主体是指定域的一部分用户，宿主或服务。

用户主体和服务主体通常是比较常见的。

UPN表示普通用户。

SPN是运行Hadoop服务或后台进程所必须的登陆名，包括HDFS和YARN等Hadoop服务。

KDCAdminAccountKDC中拥有管理权限的用户（例如添加，修改，删除Principal）。

即KDC管理员帐户，有权添加其他Principal,Kerberos基础,Kerberos核心概念AuthenticationSever（简称AS，即认证服务）用于初始化认证，并生成TicketGrantingTicket（TGT）。

一旦用户成功地向AS进行了身份验证，则AS向安全集群中的其他服务认证和客户端授予TGT。

这些票据是用于客户端向服务器进行身份验证，有一定时效的加密信息。

然后，主体使用TGT来请求认证和访问Hadoop服务。

TicketGrantingServer（TGS）票据验证服务器，验证客户端传递的TGT，然后给客户端服务授予票据，以便它们可以访问hadoop服务。

服务票据使验证后的主体能够使用集群中的服务。

在TGT的基础上生成ServiceTicket。

一般情况下AS和TGS都在KDC的Server上。

Kerberos基础,Kerberos核心思想,基于秘钥的共识，有且只有中心服务器知道所有的用户和服务的秘钥信息，如果你信任中心服务器，那么你就可以信任中心服务器给出的认证结果。

不光验证的用户真实性，实际上也验证了后台服务的真实性，所以他的身份认证是双向认证，后台服务同样是通过用户，密码的形式登记到系统中的，避免恶意伪装的钓鱼服务骗取用户信息的可能性。

Kerberos认证流程,Kerberos的优点,较高的性能虽然我们一再地说Kerberos是一个涉及到3方的认证过程：

Client、Server、KDC。

但是一旦Client获得用过访问某个Server的Ticket，该Server就能根据这个Ticket实现对Client的验证，而无须KDC的再次参与。

和传统的基于WindowsNT.0的每个完全依赖TrustedThirdParty的NTLM比较，具有较大的性能提升。

实现了双向验证传统的NTLM认证基于这样一个前提：

Client访问的远程的Service是可信的、无需对于进行验证，所以NTLM不曾提供双向验证的功能。

这显然有点理想主义，为此Kerberos弥补了这个不足：

Client在访问Server的资源之前，可以要求对Server的身份执行认证。

对Delegation的支持Impersonation和Delegation是一个分布式环境中两个重要的功能。

Impersonation允许Server在本地使用Logon的Account执行某些操作，Delegation需用Server将logon的Account带入到另过一个Context执行相应的操作。

NTLM仅对Impersonation提供支持，而Kerberos通过一种双向的、可传递的（Mutual、Transitive）信任模式实现了对Delegation的支持。

互操作性,Sentry基础,为什么用Sentry？

Hadoop系统中没有统一的授权管理系统认证安全（如Kerberos）解决谁可以访问集群，而授权安全是用来解决可以访问集群的人能做什么样的事情ApacheSentry为Hadoop环境提供统一的授权方式，管理员可以准确指定用户在Hadoop系统中可以执行的操作Sentry基于角色的访问系统使管理员能够在细粒度级别控制用户访问。

为了在集群中设置细粒度授权，必须对数据进行分类，并指定需要访问特定数据集的用户及所需的访问级别,Sentry基础,什么是Sentry？

ApacheSentry是Cloudera公司发布的一个Hadoop开源组件，提供了细粒度级、基于角色的授权以及多租户的管理模式可以与ApacheHive、HiveMetastore/HCatalog、ApacheSolr、Impala和HDFS良好结合Sentry被设计作为Hadoop组件的可插拔授权引擎。

它允许用户定义授权规则，来验证用户或应用对Hadoop资源的访问请求。

Sentry是高度模块化的，可以支持Hadoop中各种数据模型的授权,Sentry基础,Sentry基本概念Authentication验证凭证以可靠地鉴别一个用户Authorization限制一个用户对给定资源的存取权限User通过底层认证系统来识别的个体Group一组User，由认证系统管理,Sentry基础,Sentry基本概念Privilege一条指令或规则，以允许对某对象的存取Role一组Privilege，或一个包含多条存取规则的模版Authorizationmodels定义了受授权规则约束的对象和允许操作的粒度如在SQL模型中，对象可以是数据库或表，操作可以是SELECT、INSERT、CREATE。

在Search模型中，对象可以是索引、配置、集合、文档，操作可以是query和update。

Sentry架构图,Sentry功能特性安全授权细粒度访问控制基于角色的管理多租户管理统一平台,Sentry的授权控制过程,建立用户时，为其分配一个组（通过操作系统或LDAP）;

创建Sentry的角色;

将一个或多个细粒度的权限赋给角色;

将一个或多个角色赋给组。