更新時(shí)間:2022-08-15 來源:黑馬程序員 瀏覽量:
在大數(shù)據(jù)領(lǐng)域,安全永遠(yuǎn)是一個(gè)繞不開的話題。
對于一個(gè)簡單安裝上線的 hadoop 集群,我們可以認(rèn)為有如下安全隱患:
如,可以人為的添加一個(gè)客戶端節(jié)點(diǎn),并以此假冒的客戶端來獲取集群數(shù)據(jù)。對于一個(gè)假冒的客戶端節(jié)點(diǎn),成功加入集群就能夠偽裝 datanode 讓得到 namenode 指派的任務(wù)和數(shù)據(jù)。創(chuàng)建一個(gè)HDFS賬戶,就可以得到 hadoop 文件系統(tǒng)的最高權(quán)限。Kerberos 主要用來做網(wǎng)絡(luò)通訊中的身份認(rèn)證,幫助我們高效、安全的識(shí)別訪問者。那么 Kerberos 是如何做身份認(rèn)證的呢?
我們來看一個(gè)現(xiàn)實(shí)中的例子:
小明要去電影院觀看一場電影
那么對于這樣一個(gè)流程來說就有:
1. 前期需求,確定了自己想要看什么電影,位于哪個(gè)影院,什么時(shí)間后使用自己的賬戶密碼登錄票務(wù)中心。
2. 購票機(jī)制,通過付費(fèi)(發(fā)送請求)來讓小明從未授權(quán)的影院訪問者變成被授權(quán)訪問的狀態(tài)。
3. 驗(yàn)票機(jī)制,驗(yàn)證票據(jù)持有者的身份,和票務(wù)中心核對驗(yàn)證票據(jù)的合法性、時(shí)間、以及訪問的位置。
4. 觀看電影,一切驗(yàn)證通過后得到想要的內(nèi)容。
5. 再次觀看,需要重新購票走流程。
那么對于這樣一個(gè)例子,相信大家應(yīng)該都很好理解。 Kerberos的認(rèn)證流程基本上和上述的例子差不多,我們來對上述例子進(jìn)行一個(gè)轉(zhuǎn)換一一對應(yīng):
發(fā)送請求,表明要訪問什么服務(wù),使用自己的密碼來對請求進(jìn)行加密 驗(yàn)證身份后,得到一個(gè)ticket(票據(jù)) 服務(wù)提供者和Kerberos進(jìn)行通訊驗(yàn)證ticket的合法性、有效期 驗(yàn)證通過提供服務(wù) 超出ticket的有效期后再次訪問需要重新申請
基于這樣一個(gè)轉(zhuǎn)換,我們可以得到一個(gè)關(guān)鍵信息: Kerberos 的身份認(rèn)證其實(shí)是基于 ticket 來完成 的,就像看電影是基于電影票來進(jìn)行驗(yàn)證的一樣。 那么我們客戶端,想要訪問某些服務(wù),最主要的是得到一張 ticket.
理解了上述的概念之后,來看一下具體的 Kerberos 的執(zhí)行流程:
在如上的流程里有如下關(guān)鍵字:
1. KDC (秘鑰分發(fā)中心), KDC (也就是 Kerberos Server )提供提供 AS 和 TGS 兩個(gè)服務(wù)
① AS: authorization server , 授權(quán)服務(wù),對于上面流程1,提供初始授權(quán)認(rèn)證,用戶表明需求并使用密碼對請求進(jìn)行加密,AS用提供的密碼對請求進(jìn)行解密后得到請求內(nèi)容,返回給用戶一個(gè)TGT(ticket granting tickets)(用一個(gè)秘鑰加密)
② 用戶得到TGT后使用TGT去訪問TGS( Ticket Granting Server ),TGS驗(yàn)證TGT后(使用秘鑰解密)返回一個(gè)Ticket給用戶
2. 用戶(圖中John),得到ticket后去訪問server,server收到ticket和KDC進(jìn)行驗(yàn)證,通過后提供服務(wù)
如上是一個(gè)典型的Kerberos運(yùn)行流程,對于 hadoop 的授權(quán)認(rèn)證來說,就是把server換為具體的服務(wù),如 namenode resourcemanager 等想要訪問 namenode (也就是 hdfs )需要拿到對應(yīng) hdfs 的 ticket 才可以訪問