我看到一些文章说默认身份验证hadoop是不安全的,因为“在默认身份验证hadoop中,集群中的所有机器都相信每个用户提供的凭据。”。例如在文章中https://blog.eduonix.com/bigdata-and-hadoop/learn-secure-hadoop-cluster-using-kerberos-part-1/,我仍然不明白为什么会发生这种情况,难道linux操作系统不能验证凭据吗,?有没有人能提供一个详细的例子来解释?
hyrbngr71#
假设它确实使用了“linuxos”方式来验证凭据,那么如果没有hadoop项目外部的工具,就不能保证系统中的每个节点都具有相同的凭据。启用访问控制的开箱即用,然后 HADOOP_USER_NAME 环境变量被检查为您访问的任何内容,但它只是一个简单的字符串,很容易被重写。acl的工作方式与unix用户和组类似,但即便如此,我的机器上的“bob”用户也不应与任何其他机器上的用户相同,即使我登录到他们的帐户也是如此。这就是ldap/ad/kerberos外部系统发挥作用的地方,在hadoop安全成为主要关注点之前就已经使用了这些系统。而且这些允许在hadoop之外进行集中式的用户和访问管理其理论是,有效地保护一小部分使用有限的机器要容易得多,而不是管理员几乎无法控制的一大组异构、多用途的服务器和工作站。https://docstore.mik.ua/orelly/networking_2nded/ssh/ch11_04.htm
HADOOP_USER_NAME
1条答案
按热度按时间hyrbngr71#
假设它确实使用了“linuxos”方式来验证凭据,那么如果没有hadoop项目外部的工具,就不能保证系统中的每个节点都具有相同的凭据。启用访问控制的开箱即用,然后
HADOOP_USER_NAME环境变量被检查为您访问的任何内容,但它只是一个简单的字符串,很容易被重写。acl的工作方式与unix用户和组类似,但即便如此,我的机器上的“bob”用户也不应与任何其他机器上的用户相同,即使我登录到他们的帐户也是如此。
这就是ldap/ad/kerberos外部系统发挥作用的地方,在hadoop安全成为主要关注点之前就已经使用了这些系统。而且这些允许在hadoop之外进行集中式的用户和访问管理
其理论是,有效地保护一小部分使用有限的机器要容易得多,而不是管理员几乎无法控制的一大组异构、多用途的服务器和工作站。
https://docstore.mik.ua/orelly/networking_2nded/ssh/ch11_04.htm