mine是一个kerborised hdp2.3集群,支持ad用户。我们知道通过使用hadoop的webuihttp://namenode-ip/50070 任何人都可以访问hdfs详细信息。我们能不能只保护某些授权用户而不是所有人的安全。。在生产中。
vxbzzdmp1#
您可以打开kerberos/spnego进行ui访问。这也需要为用户的浏览器启用spnego。请参见:https://hadoop.apache.org/docs/r1.2.1/httpauthentication.html 有关保护UI的一般说明。在较高级别上,可以将http身份验证设置为simple、kerberos或自定义身份验证处理程序的类名。您可能还对使用apacheknox代理所讨论的ui感兴趣。这将允许您提供针对ldap的http基本身份验证或许多其他身份验证选项,以便访问端口。请参见:http://knox.apache.org/books/knox-0-7-0/user-guide.html#ui+ui代理详细信息的服务+详细信息。当然,这将要求您通过防火墙关闭对ui的其他直接访问。另外值得注意的是,在安全集群中将http身份验证类型保留为simple也会使restapi对任何能够访问它的人开放。
1条答案
按热度按时间vxbzzdmp1#
您可以打开kerberos/spnego进行ui访问。这也需要为用户的浏览器启用spnego。
请参见:https://hadoop.apache.org/docs/r1.2.1/httpauthentication.html 有关保护UI的一般说明。
在较高级别上,可以将http身份验证设置为simple、kerberos或自定义身份验证处理程序的类名。
您可能还对使用apacheknox代理所讨论的ui感兴趣。这将允许您提供针对ldap的http基本身份验证或许多其他身份验证选项,以便访问端口。请参见:http://knox.apache.org/books/knox-0-7-0/user-guide.html#ui+ui代理详细信息的服务+详细信息。
当然,这将要求您通过防火墙关闭对ui的其他直接访问。另外值得注意的是,在安全集群中将http身份验证类型保留为simple也会使restapi对任何能够访问它的人开放。