アウトライン
Hortonworksデータプラットフォーム(HDP)プラットフォームに、例えば、セキュリティメカニズムは、ビッグデータプラットフォームは、次の2つの態様を含むのHadoop。
- つまり、ユーザの真のアイデンティティの身元を確認するために、ユーザは、ビッグデータエンジンのプラットフォームを使用して、ユーザーがこの証拠をテストする必要があり、これは決定するのに有効であることが判明した彼は自分のアイデンティティ、ビッグデータプラットフォームの証拠を提供すること、すなわち、誰であるかを示すために必要です、およびない偽造。それ以外の場合は、ビッグデータエンジンを入力するようにユーザを拒否。
- この検証を管理するために許可されたユーザの真のアイデンティティた後、ユーザーがリソース管理を操作できるリソースを取得することができるビッグデータプラットフォームでどのようなコンポーネントを使用することができ、この上のユーザーの権限を定義する必要があります。
認証
Kerberos認証メカニズムの一般的な使用に基づいて、ビッグデータプラットフォーム
概要
簡単に言えば、ビッグデータプラットフォームは、専用の認証サーバKDCは、あなたが((人間のユーザとユーザマシンやプログラムが)、すなわちキータブ、居住地の証明が発行されたすべてのプラットフォームのユーザーに事前に、地元の警察署としてそれを見ることができていますキー)。各ユーザーがビッグデータプラットフォームを使用したい後、認証が正しいの後、我々はビッグデータプラットフォームエンジンを使用できるようにするには、KDCの認証を証明するために行くためにこれを取る必要があります。動作例
私たちは、HDPのambariは愚か者操作を、プラットフォーム全体の最初のKerberosを提供しなければならない、付属品は説明しています。
上記のように、ケルベロス技術の後、我々は、管理インターフェイス二次開発をambari。ここでは、ユーザーのキータブを生成しながら、ユーザーをクリックして、すでに、ユーザーのKDCサーバの同期関連情報に登録されているローカルユーザを作成し、キーをダウンロードするには、詳細ページを入力してください。ビッグデータプラットフォームを使用するユーザーの後(コマンドラインまたはAPI呼び出しまたは任意のモードのいずれか)、それは最初の認証のためにKDCにキータブを運ぶ必要があります。このコマンドラインの例では、例えば、ユーザーがファイルを読むために上記のHDFSにHadoopを使用する必要があります。彼は自分のアイデンティティを点灯する必要がある、つまり、コマンドを実行します。
kinit -k -t keytab路径 用户名
この時間の後、HDFSは、コマンドがエラーなし経由で認証できるようにしたい実行して行きます。
Exception encountered while connecting to the server : javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]
権限管理
ビッグデータプラットフォームベースの認証管理Apacheのレンジャーさん。承認マネージャは、認証の上に構築されることになっている、身元が確認できない場合でも、次のことを想像し、その後、あなたが信頼できない任意のライセンス(あなたは、このユーザーがユーザーである許可よろしいん)、あなたを承認マネージャは、実際に空のパイです。
概要
レンジャーリソースベースの権限管理機構を提供する、いわゆるリソースは、コンポーネントのビッグデータプラットフォーム(例えばHDFS、ハイブ、HBaseの、等)、ならびに例えば、特定のリソース(HDFSの経路、ハイブ、HBaseの内部コンポーネント表)。サービス(サービス)内のリソースのレンジャーに対応するコンポーネントは、このコンポーネントの特定のリソースのユーザーの権限管理にすることができ、単一のサービスにポリシーを作成します。ガイド
ambariインタフェース二次開発、レンジャーのネイティブインターフェース移植に私たちを
示されるように、一例として、レンジャー検出し、自動的にサービスプラットフォームの様々な構成要素を生成する、サービスの詳細を入力するにはここをクリック
管理権限を持つ特定のリソースにポリシーを追加または編集します。上記のように、我々はユーザーtestrangerにすべてのテーブルのHBaseのすべての列のすべての動作権限を付与します。このポリシーを編集する場合、ユーザーtestranger削除エラーが発生した場合、その後のHBaseでのユーザーのクエリや他の操作を実行します。
ERROR: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions for user ‘[email protected]',action: scannerOpen, tableName:test, family:f1
また、あなたはまた、ポリシーを管理するための新たな戦略を作成することができ、きめ細かい権限管理を提供し、詳細なレンジャーの公式ウェブサイトを参照してください。