之所以要翻译这篇文章,是因为提到了一些通常于对Kerberos协议简介性质的文章所没有提到的细节,而这些细节对于理解Kerberos的工作原理,以及Kerberos协议实现的使用都是很有必要的. 1.3 组件和术语的定义 这一节给了关于对象和术语的定义,对于这些的了解对于接下来关于Kerberos协议的描述是非常关键的.因为有些定义是基于其它定义的,所以我会尽量尝试按照顺序来讲解它们,以使得先给出它们的含义再给出定义(译注:这里原文有些怪怪的,不过大概意思就是按照术语出现的先后来解释它们).尽管

通常,一个Hadoop集群的安全使用kerberos来进行保障.在启用Kerberos后,需要用户进行身份验证.用户通过验证后可以使用GRANT/REVOKE语句来进行基于角色的访问控制.本文介绍一下在CDH集群中如何配置kerberos. 1.KDC安装和配置脚本 脚本install_kerberos.sh可以完成kerberos服务器所有安装配置和相应的参数配置 #!/bin/bash # echo "ready to install and config kerberos" #

LDAP介绍 1),ladp(Lightweight Directory Access Protocol),轻量级目录访问协议,提供被称为目录服务的信息服务,特别是基于X.500(构成全球分布式的目录服务系统的协议)的目录服务. 2),ldap运行在TCP/IP或者其他面向连接的传输服务上. 3),ldap同时是一个IETF标准跟踪协议,在“轻量级目录访问协议(ldap)技术规范路线”RFC4510中被指定. 4),ldap软件来源于OpenLDAP项目,该项目是一个由志愿者组成的团队,官网网址

Kerberos介绍(全)   微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议.Windows Server 2003同时也实现了公钥身份认证的扩展.Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问.最初的用户身份验证是跟Winlogon的单点登录架构集成在一起的.Kerberos的KDC(Key

目录 前言 服务端安装 组件安装 配置krb5.conf 配置kdc.conf 配置kadm5.acl 创建kdc数据库 在server端创建一个管理员账号,方便远程登录管理kerberos 正式启动kerberos server 服务端进阶配置 服务端高可用配置 服务端同LDAP集成配置 客户端安装 组件安装 krb5.conf配置 日常运维 kadmin和kadmin.local的区别 kadmin 两种操作形态 直接使用kadmin的错误 登录认证kinit 已认证票据查询klist 登出

环境 系统环境:Centos6.7 Hadoop版本:CDH5.10 jdk版本:jdk7 注:本文并未集成kerberos组件 安装Sentry Server 选择安装hive的节点进行安装测试: yum install sentry* -y 以下三个组件会进行安装 sentry:sentry的基本包 sentry-hdfs-plugin:hdfs插件 sentry-store:sentry store组件 配置 配置sentry service相关参数 <property> <nam

环境 系统环境:Centos6.7 Hadoop版本:CDH5.10 jdk版本:jdk7 注:本文并未集成kerberos组件 安装Sentry Server 选择安装hive的节点进行安装测试: yum install sentry* -y 以下三个组件会进行安装 sentry:sentry的基本包 sentry-hdfs-plugin:hdfs插件 sentry-store:sentry store组件 配置 配置sentry service相关参数 <property> <nam

转:Kerberos介绍(全)

出现警告的过程是: 1.搭建ambari集群成功后,添加了hdfs和zk组件,然后启用了kerberos: 2.kerberos启用完毕后添加hbase和yarn.MapReduce.hive都没有出现警告 3.添加kafka之后,在ambari的kerberos处更新了票据,这时候发现hive和yarn出现了警告,前台是403错误,通过查看后台日志发现,报了这样一个警告: Failure unspecified at GSS-API level (Mechanism level: Checks

1. 概述 Kerberos可以与CDH集成,CDH里面可以管理与hdfs.yarn.hbase.yarn.kafka等相关组件的kerberos凭证.但当我们不使用CDH的时候,也需要了解hdfs.yarn.hbase和kafka是如何配置关联kerberos的. 该文是建立在Kerberos基本原理.安装部署及用法博客的前提上的,需要首先了解Kerberos的基本原理.安装用法,才能阅读下文. 集群机器信息为: ip hostname 192.168.1.150 cdh1 192.168.1

一.Kerberos 1.Kerberos原理和工作机制 概述:Kerberos的工作围绕着票据展开,票据类似于人的驾驶证,驾驶证标识了人的信息,以及其可以驾驶的车辆等级. 1.1 客户机初始验证   1.2获取对服务的访问   2.kerberos中的几个概念 2.1 KDC:密钥分发中心,负责管理发放票据,记录授权.     2.2 域:kerberos管理领域的标识.     2.3 principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl

版本信息 <version.hbase>2.1.0-cdh6.2.1</version.hbase> <version.hadoop>3.0.0-cdh6.2.1</version.hadoop> <version.hive.jdbc>2.1.1-cdh6.2.1</version.hive.jdbc> HDFS访问 private Configuration createHDFSConfiguration(String cluste

运行在独立的节点上的ResourceManager和NodeManager一起组成了yarn的核心,构建了整个平台.ApplicationMaster和相应的container一起组成了一个Yarn的应用系统. ResourceManager提供应用程序的调度,每个应用程序由一个ApplicationMaster管理,以Container的形式请求每个任务的计算资源.Container由ResourceMangaer调度,由每个节点的NodeManager上进行本地的管理. ResourceMa

当我们使用Windows Authentication去连接SQL Server的时候,SQL Server可能会使用Kerberos或者是NTLM来进行认证,有时间就会因为认证失败的缘故造成各种登录错误(login failed).解决这些问题往往令人很迷惑.今天我们就来做一个简单的介绍. 1. Kerberos VS NTLM NTLM认证:Challenge – Response 模式 在使用NTLM协议时,客户端发送用户名到服务器端:服务器生成一个challenge并发送给客户端:客户端

转载请注明出处 :http://www.cnblogs.com/xiaodf/ 本文档主要用于说明,如何在集群外节点上,部署大数据平台的客户端,此大数据平台已经开启了Kerberos身份验证.通过客户端用户在集群外就可以使用集群内的服务了,如查询集群内的hdfs数据,提交spark任务到集群内执行等操作. 具体部署步骤如下所示: 1.拷贝集群内hadoop相关组件包到客户端 本地创建目录/opt/cloudera/parcels mkdir –R /opt/cloudera/parcels 拷贝

在调试Kerberos的时候可能会有需要禁用的场景.以下是各组件禁用Kerberos的相关配置. 环境 CDH版本:5.11.2 Linux版本:7.4.1708 Docker版本:Docker version 18.06.0-ce JDK版本:1.8 Zookeeper enableSecurity (Enable Kerberos Authentication) : false zoo.cfg 的Server 高级配置代码段(安全阀)写入skipACL: yes HDFS hadoop.se

在进行讲解之前,先带大家学习下hadoop关于hdfs自己的安全如何实现的--------------------------- 名词: ACL-访问控制列表(Access Control List,ACL) ARBAC-基于角色的权限访问控制(Role-Based Access Control) 所有安全体系的了解,大数据平台安全体系的四个层次说起:外围安全.数据安全.访问安全以及访问行为监控,如下图所示: 外围安全技术多指传统意义上提到的网络安全技术,如防火墙,登陆认证等: 数据安全从狭义上

1.1 kerberos认证浅析 1.kerberos定义 1. Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务. 2. Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的. 3. Kerberos也能达到单点登录的效果,即当Client通过了Kerberos server的认证后,便可以访问多个Real Server. 2.kerberos几个重要组件 1. KDC:负责分发密钥的密

1.NIS部分 1.1 简介     NIS(Network Information Service,or Yellow Page or YP) 网络信息服务,由sun公司开发并授权给unix供应商,最初称为黄页,简称YP,由于 British Telecom PLC公司优先注册了Yellow Page商标,所以sun公司最终将其改名为NIS,但是其应用程序或脚本仍延用以yp开头.    NIS是一种应用层协议,以客户端/服务器端的方式工作,主要作用是在网络中提供轻型目录服务,如存储用户或组帐号

Kerberos和NTLM - SQL Server https://www.cnblogs.com/dreamer-fish/p/3458425.html 当我们使用Windows Authentication去连接SQL Server的时候,SQL Server可能会使用Kerberos或者是NTLM来进行认证,有时间就会因为认证失败的缘故造成各种登录错误(login failed).解决这些问题往往令人很迷惑.今天我们就来做一个简单的介绍. 1. Kerberos VS NTLM NTLM