HADOOP和ZOOKEEPER的kerberos认证

安全场景下的大数据集群的使用相比非安全的集群具有更高的复杂度。关于kerberos认证的讲解资料较多,本文不在赘述。仅针对HADOOP和ZOOKEEPER的的认证进行简单分析和对比并给出一些kerberos访问的一下Tip。

安全HADOOP的使用:

使用过安全hadoop的小伙伴都知道在安全集群中,如果需要对集群(hdfs,yarn,hive,hbase,spark thriftserver)的访问,都需要先进行认证:

1. 在命令行/测试场景下一般使用kinit命令完成用户的认证,然后“任意”访问集群中的组件
2. 在线上应用中一般使用UserGroupInformation.loginUserFromKeytab(principalName, keytabFilename)来完成kerberos认证

安全HADOOP的访问的实现:

HADOOP的安全认证与狭义的hdfs,yarn实现了分离,独立封装出hadoop-common*.jar给上层各组件使用,应用层调用UserGroupInformation类完成认证

/*直接成longinContext*/
login = newLoginContext(HadoopConfiguration.KEYTAB_KERBEROS_CONFIG_NAME,subject, new HadoopConfiguration());
login.login();

/*在loginContext的init方法中获取登录信息,此时的config为hadoop实现的Config*/
AppConfigurationEntry[] entries = config.getAppConfigurationEntry(name);

/*此类中定义了keytab,principal,loginModule等信息,此处使用的longinModule为Krb5LoginModule*/
private static final AppConfigurationEntry KEYTAB_KERBEROS_LOGIN =
  new AppConfigurationEntry(KerberosUtil.getKrb5LoginModuleName(),
                            LoginModuleControlFlag.REQUIRED,
                            KEYTAB_KERBEROS_OPTIONS);

安全Zookeeper的使用

我们知道在进行安全Zookeeper访问时,需要进行kerberos认证,而Zookeeper认证时需要传入对应的jaas.conf配置文件。通常该文件的配置如下:

Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/zookeeper/conf/zkcli.keytab"
  storeKey=true
  useTicketCache=false
  principal="zkcli@HADOOP.COM";
};

该配置的含义是在进行zookeeper认证时,使用的认证类时Krb5longinModule类,使用keytab文件认证,认证时不使用OS缓存的tgt,而是使用配置的keyTab和principal。 配置文件中的Client表示认证的上下文的段(Login Context section),应用层如果需要再不同的服务访问时,使用不同的用户,则可以配置多个不同的Login Context section。 只要实现对该文件的解析逻辑即可。

安全zookeper场景下的认证实现:

/*此时的Configuration.getConfiguration返回的是sun.security.provider.ConfigFile,通过该类和jaas.conf配置文件获取认证信息*/

Configuration.getConfiguration().getAppConfigurationEntry(clientSection)

/*在初始化zookeeper的封装login类初始化时,调用login方法,使用loginContext类完成用户的kerberos的认证*/

LoginContext loginContext = new LoginContext(loginContextName,callbackHandler);
loginContext.login();
LOG.info("successfully logged in.");

总结:

HADOOP和zookeeper的的认证本质是一致的

在安全认证时,均使用的是kerberos的认证机制,客户端的认证实现都是通过底层jdk的代码LonginContext,Krb5longinModule等模块实现,本质上来讲,HADOOP和zookeeper的认证是一回事。

认证信息的解析方式不同

zookeeper的认证通过解析应用配置的jaas.conf配置文件得到相关的信息完成

而HADOOP的认证模块则是内部定义了部分配置,只需要用户传入principal和keytab即可。

HADOOP和zookeeper为何没有使用同一的接口实现

zookeeper为何不使用HADOOP的认证方式的可能原因 :HADOOP最初的实现没有引入相关的安全机制; Zookeeper作为底层的分布式协调器,不应当对上层的组件有依赖;作者不想用。

HADOOP为何不使用zookeeper的认证方式的可能原因:jaas.conf的配置相对复杂,作者用起来不爽

各个组件使用的认证方式

组件如Hive,HBase,Spark等组件使用的认证都是hadoop-common的实现

Kafka和zookeeper使用的均为配置jaas.conf的方式进行kerberos认证。大概是kafka本身对hadoop没有依赖关系,仅仅对zk有相关的依赖,为了保持统一风格,因此选择了Zookeeper的认证

关于kerberos的一些Tips

KRB5CCNAME环境变量:

在客户端与kdc进行认真时会生成tgt文件,默认会缓存在/tmp/krb5cc_${uid}的文件中,如果使用不同的终端同样的用户登录机器分别使用kinit命令,则会造成用户冲突,可能引发各种异常。因此可通过设置KRB5CCNAME环境变量的方式进行认证时用户隔离

KRB5_CONFIG环境变量:

* 在客户端与kdc交互时,使用使用到krb5.conf的配置文件,该配置文件默认存储在/etc目录下。 如果执行kinit等命令时需要使用特定的krb5.conf配置文件,可通过设置KRB5_CONFIG实现

* 同样如果是在java进程中需要使用特定的krb5.conf配置文件,则可通过设置-Djava.security.krb5.conf来完成
操作 功能 备注
export KRB5CCNAME=/path/${tgtcacheFileName} 指定私有的tgt缓存文件,与其他tgt文件隔离,当前session有效,不影响其他用户使用
export KRB5_CONFIG=/path/krb5.conf 执行kinit,klist命令行时,指定特定的krb5.conf配置文件
-Djava.security.krb5.conf=/path/krb5.conf java命令行中指定特定的krb5.conf配置文件
-Djava.security.auth.login.config=/path/jaas.conf 指定特定的jaas.conf配置文件
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,864评论 6 494
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,175评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,401评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,170评论 1 286
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,276评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,364评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,401评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,179评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,604评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,902评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,070评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,751评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,380评论 3 319
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,077评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,312评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,924评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,957评论 2 351

推荐阅读更多精彩内容