Hadoop的安全机制

Hadoop Kerberos安全机制介绍

参考: http://dongxicheng.org/mapreduce/hadoop-kerberos-introduction/

在Hadoop1.0.0或者CDH3版本后,加入了Kerberos认证机制。使得集群中的节点就是它们所宣称的,是信赖的。Kerberos可以将认证的密钥在集群部署时事先放到可靠的节点上。集群运行时,集群内的节点使用密钥得到认证。只有被认证过节点才能正常使用。企图冒充的节点由于没有事先得到的密钥信息,无法与集群内部的节点通信。防止了恶意的使用或篡改Hadoop集群的问题,确保了Hadoop集群的可靠安全。

  • 解决服务器到服务器的认证
    由于kerberos对集群里的所有机器都分发了keytab,相互之间使用密钥进行通信,确保不会冒充服务器的情况。集群中的机器就是它们所宣称的,是可靠的。
    防止了用户伪装成Datanode,Tasktracker,去接受JobTracker,Namenode的任务指派。
  • 解决client到服务器的认证
    Kerberos对可信任的客户端提供认证,确保他们可以执行作业的相关操作。防止用户恶意冒充client提交作业的情况。
    用户无法伪装成其他用户入侵到一个HDFS 或者MapReduce集群上
    用户即使知道datanode的相关信息,也无法读取HDFS上的数据
    用户无法发送对于作业的操作到JobTracker上