开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么Hadoop使用Kerberos而不是PKI/OAuth进行身份验证？

Hadoop使用Kerberos而不是PKI/OAuth进行身份验证的原因是因为Kerberos具有以下优势和适用场景：

安全性：Kerberos是一种强大的网络身份验证协议，通过使用票据和密钥进行身份验证，可以提供更高的安全性。它使用对称密钥加密技术，确保身份验证过程中的数据传输是安全的。
集中式身份管理：Kerberos提供了集中式的身份管理，通过使用Kerberos服务器来颁发票据和验证用户身份。这种集中式的管理可以更好地控制和监控用户的访问权限，提高系统的安全性。
单点登录：Kerberos支持单点登录（Single Sign-On，SSO）功能，用户只需要在登录时进行一次身份验证，就可以在整个Hadoop集群中访问各种服务和资源，无需重复输入用户名和密码。
可扩展性：Kerberos可以轻松地扩展到大规模的分布式系统中，适用于Hadoop这样的大数据处理框架。它可以处理大量的用户和服务，并提供高效的身份验证和授权机制。
成熟稳定：Kerberos是一个经过长期发展和广泛应用的身份验证协议，已经在许多企业和组织中得到验证和使用。它的稳定性和可靠性使得Hadoop选择使用Kerberos作为其身份验证机制。

对于Hadoop而言，PKI/OAuth等身份验证机制可能存在以下限制：

复杂性：PKI（Public Key Infrastructure）和OAuth（Open Authorization）等身份验证机制相对复杂，涉及到公钥和私钥的生成、分发和管理，以及与认证服务器的交互等。这增加了系统的复杂性和部署的难度。
性能：PKI/OAuth等机制可能引入额外的网络通信和计算开销，对于大规模的分布式系统如Hadoop，可能会影响系统的性能和响应时间。
适用性：PKI/OAuth等机制更适用于Web应用程序和互联网领域，而Hadoop是一个大数据处理框架，其特点和需求与传统的Web应用程序有所不同。因此，选择更适合大数据处理的身份验证机制是合理的选择。

腾讯云提供的相关产品和服务：

腾讯云提供了一系列与身份验证和安全相关的产品和服务，可以帮助用户在云计算环境中实现安全的身份验证和访问控制。以下是一些相关产品和服务的介绍链接：

腾讯云身份认证（CAM）：https://cloud.tencent.com/product/cam

腾讯云身份认证（Cloud Access Management，CAM）是一种集中式的身份和访问管理服务，可以帮助用户管理和控制腾讯云资源的访问权限，实现精细化的访问控制和身份验证。

腾讯云密钥管理系统（KMS）：https://cloud.tencent.com/product/kms

腾讯云密钥管理系统（Key Management Service，KMS）是一种安全的密钥管理服务，可以帮助用户生成、存储和管理加密密钥，用于保护敏感数据和实现安全的身份验证。

腾讯云安全组：https://cloud.tencent.com/product/safety

腾讯云安全组是一种网络安全防护服务，可以帮助用户定义和管理网络访问控制规则，实现对云服务器的访问控制和身份验证。

请注意，以上仅为腾讯云提供的一些相关产品和服务，其他云计算品牌商也提供类似的身份验证和安全相关产品和服务。

相关搜索:Auth0 -为什么他们希望用户使用WebView而不是从EditText获取字符串进行身份验证？OAuth2RestOperations使用从请求头获取的令牌，而不是请求身份验证服务器为什么使用Puppeteer进行JS webscraping，而不是只使用Ajax？为什么使用脚本类型babel而不是ecmascript或javascript进行反应为什么我的模型使用粗糙的张量而不是密集的张量进行学习？为什么我的状态只在第二次状态更改时更新，而不是在React中使用useEffect进行第一次状态更改时更新？为什么要使用Flask的app.test_client()而不是requests.Session()进行测试使用Dynamodb而不是mongoose进行Google身份验证使用Microsoft应用程序身份验证时，microsoft将重定向到根目录，而不是“oAuth”url 使用凭据缓存的Kerberos身份验证通过Eclipse工作，而不是通过命令行工作

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【愚公系列】软考高级-架构设计师 068-网络安全协议

网络安全协议是一组规则和标准，用于保护网络通信的安全性和完整性。这些协议通过加密、认证和数据完整性检查等技术手段，确保数据在传输过程中不被窃取、篡改或伪造。网络安全协议广泛应用于互联网、局域网和其他类型的网络，以确保个人、企业和政府机构的数据安全。

02

Kerberos安全工件概述

Cloudera 集群如何使用Kerberos工件，例如principal、keytab和委派令牌。

05

Hadoop HTTP web-consoles认证机制

问题导读 1.如何配置 Hadoop HTTP web-consoles 所需要的用户身份验证? 2.哪个配置文件可以配置 Hadoop HTTP认证？ 3.hadoop.http.authenti

06

CDP-DC中部署Knox

Apache Knox网关（“ Knox”）是一种在不降低Hadoop安全性的情况下将Apache™Hadoop®服务的覆盖范围扩展到Hadoop群集之外的用户的系统。Knox还为访问群集数据和执行作业的用户简化了Hadoop安全性。Knox网关被设计为反向代理。

03

Kerberos基本概念及原理汇总

强大的身份验证和建立用户身份是Hadoop安全访问的基础。用户需要能够可靠地“识别”自己，然后在整个Hadoop集群中传播该身份。完成此操作后，这些用户可以访问资源（例如文件或目录）或与集群交互（如运行MapReduce作业）。除了用户之外，Hadoop集群资源本身（例如主机和服务）需要相互进行身份验证，以避免潜在的恶意系统或守护程序“冒充”受信任的集群组件来获取数据访问权限。

02

9月重点关注这些API漏洞

漏洞详情：Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的 MapReduce 算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令，最终完全控制服务器。

01

看完您如果还不明白 Kerberos 原理，算我输！

强大的身份验证和建立用户身份是 Hadoop 安全访问的基础。用户需要能够可靠地 “识别” 自己，然后在整个 Hadoop 集群中传播该身份。完成此操作后，这些用户可以访问资源（例如文件或目录）或与集群交互（如运行 MapReduce 作业）。除了用户之外，Hadoop 集群资源本身（例如主机和服务）需要相互进行身份验证，以避免潜在的恶意系统或守护程序 “冒充” 受信任的集群组件来获取数据访问权限。

07

如何禁用Kerberos

在Hadoop集群内提供身份认证最佳和可接受的方式是使用Kerberos。Kerberos提供了强大的身份验证功能，但是它的复杂性也让很多集群管理员心生畏惧。而开发者在调用Hadoop生态组件的API或者向YARN提交任务时，需要在代码中添加Kerberos访问机制，如果不是对在数据安全极其苛刻的条件下，启用Kerberos对管理员和开发人员都是一种很大的负担。本文主要讲解如何在CDH7.1.1集群中禁用Kerberos。

02

Kerberos简介

Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。条件

02

Certified Pre-Owned

Certified Pre-Owned是安全研究员@（Will Schroeder和Lee Christensen）在6月17号提出的针对Active Directory 证书服务的一个攻击手法，并于8月5日在Black Hat 2021中进行展示。

02

干货 | 域渗透之域持久性：Shadow Credentials

https://www.dsinternals.com/wp-content/uploads/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf

03

保护Hadoop环境

Hadoop于2007年首次发布时，其目的是在受信任的环境中管理大量Web数据，因此安全性不是重点，也不是聚焦点。随着采用率的上升和Hadoop演变成企业技术，它逐渐发展成为一种不安全的平台而享有盛誉。最初的Hadoop安全性的大多数缺陷已在后续版本中得到解决，但感觉变化比较缓慢。Hadoop的安全声誉和现实远不匹配。

01

Kerberos相关问题进行故障排除| 常见错误和解决方法

此消息表明一个操作尝试要求以Kerberos的user/host@realm身份认证的操作，但票据cache中没有用于user/host@realm的票据。

03

EasyMR 安全架构揭秘：如何管理 Hadoop 数据安全

2017年，美国信用评级机构 Equifax 遭受黑客攻击，导致1.4亿个人的敏感信息泄露；

03

Cloudera安全认证概述

身份验证是任何计算环境的基本安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权使用多种方式处理，从访问控制列表（ACL）到HDFS扩展ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

01

Kerberos 身份验证在 ChunJun 中的落地实践

Kerberos，在古希腊神话故事中，指的是一只三头犬守护在地狱之门外，禁止任何人类闯入地狱之中。

03

CDH6.3应知应会

Cloudera Manager是一个拥有集群自动化安装、中心化管理、集群监控、报警功能的一个工具，使得安装集群从几天的时间缩短在几个小时内，运维人员从数十人降低到几人以内，极大的提高集群管理的效率。

01

深入分析CVE-2022-26923 ADCS权限提升漏洞

https://www.xie-sec.com/detail/l_628764a1e4b01a485201cba3/4

02

SPIFFE/SPIRE 从入门到入门

大概很多人和我一样，是从 Istio 那里听说 SPIFFE（读音 Spiffy [ˈspɪfi]）的，Istio 中用 SPIFFE 方式为微服务提供身份。SPIFFE 全称为 Secure Production Identity Framework For Every one，顾名思义，这是一个解决身份问题的框架；而 SPIRE 则是 SPIFFE 的一个实现，全称为 SPIFFE Runtime Environment。

02

CDP私有云基础版用户身份认证概述

对于任何计算环境来讲，身份验证是最基本的安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权有多种方式处理，从访问控制列表（ACL）到HDFS扩展的ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

02

Elasticsearch集群的身份验证、用户鉴权操作

前言| ES作为一款当下非常流行的轻量级存储搜索引擎，其安全性也变得日益重要。否则就会非常容易造成敏感数据泄露的严重问题。主要是因为使用者并没有将ES的安全功能打开。那么出现这种问题产生的原因是什么呢？原因大致如下：

04

0641-5.16.1-如何禁用CDH5.16.1的Kerberos

Fayson在前面的文章介绍了如何为CDH集群启用Kerberos，在集群启用Kerberos后，会对现有环境的部分代码做改造，有些人觉得使用起来不方便，想取消Kerberos。本篇文章Fayson主要介绍如何禁用CDH集群的Kerberos及禁用后对各组件服务的测试。

04

CDP中的Hive3系列之保护Hive3

作为管理员，您需要了解运行 Hive 查询的 Hive 默认授权是不安全的，以及您需要做什么来保护您的数据。您需要了解您的安全选项：设置 Ranger 或基于存储的授权 (SBA)，它基于模拟和 HDFS 访问控制列表 (ACL)，或这些方法的组合。

03

如何禁用CDH集群Kerberos

温馨提示：要看高清无码套图，请使用手机打开并单击图片放大查看。 Fayson的github：https://github.com/fayson/cdhproject 提示：代码块部分可以左右滑动查看噢 1.文档编写目的 ---- Fayson在前面的文章介绍了如何为CDH集群启用Kerberos，在集群启用Kerberos后，会对现有环境的部分代码做改造，有些人觉得使用起来不方便，想取消Kerberos。本篇文章Fayson主要介绍如何禁用CDH集群的Kerberos及禁用后对各组件服务的测试。注意：本文

06

大数据权限与安全

权限的管控，历来是大数据平台中最让人头疼的问题之一。管得严了，业务不流畅，用户不开心，放得宽了，安全没有底，你能放心？而且大数据平台组件，服务众多；架构，流程复杂，有时候，就是你想管，也未必能管得起来。

06

研发中：联邦SPIFFE信任域

联邦信任域是SPIFFE和SPIRE最高需求和活跃开发的功能之一。在这篇博文中，我将概述我们当前的计划以及实施它的挑战。

03

【大数据安全】基于Kerberos的大数据安全验证方案

互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题，不幸的是，防火墙是假设“坏人”是来自外部的，而真正具有破坏性的攻击事件都是往往都是来自于内部的。

05

Centos7中安装和配置FreeIPA

在未部署统一身份管理系统时，管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码，无法进行统一的管理。当主机数量增加到一定程度后，也将难以进行有效的安全管理，对账号密码泄露等问题难以进行控制。统一身份认证系统可以帮助我们解决这一问题。Windows环境下可以使用域账号进行身份管理，而在Linux环境下，FreeIPA可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。

02

【大数据安全】基于Kerberos的大数据安全方案

互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题，不幸的是，防火墙是假设“坏人”是来自外部的，而真正具有破坏性的攻击事件都是往往都是来自于内部的。

02

大数据平台安全认证 -- Kerberos

自从2018年大数据平台升级，Hadoop/Kafka从此被Kerberos立体环绕，虽然知道kinit/kdestory/klist命令，但是每次执行都感觉云里雾绕，尤其是对接租户的时候，多次陷入尴尬的境地。实习带我的老师曾提起培训一次kerberos，可是还没提上日程就离职了。于是决定去靠自己理解一下Kerberos，脱离这种没有安全感的日子。

01

0919-Apache Ozone安全架构

身份认证是 Ozone 组件识别用户身份的过程，Apache Ozone支持使用Kerberos和security tokens的强身份认证。

01

内网渗透-kerberos原理详解

Kerberos协议是一个专注于验证通信双方身份的网络协议，不同于其他网络安全协议的保证整个通信过程的传输安全，kerberos侧重于通信前双方身份的认定工作，帮助客户端和服务端解决“证明我自己是我自己”的问题，从而使得通信两端能够完全信任对方身份，在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。

01

0558-01-如何在Redhat7上安装FreeIPA

FreeIPA是一个Linux环境下开源的身份管理系统，它提供了用户管理和身份验证，就跟Fayson前面介绍的Microsoft Active Directory或OpenLDAP。FreeIPA集成了Directory Server、Kerberos、PKI、DNS、Certmonger、NTP Server、WebUI、Trusts、Client等组件，也就是说在Hadoop集群要统一用户管理和安全认证一个它就足够了。本篇文章Fayson主要介绍如何在Redhat7上安装FreeIPA。

02

0596-6.2.0-如何在CDH6.2中禁用Kerberos

Fayson在前面的文章介绍了如何为CDH集群启用Kerberos，在集群启用Kerberos后，会对现有环境的部分代码做改造，有些人觉得使用起来不方便，想取消Kerberos。本篇文章Fayson主要介绍如何禁用CDH集群的Kerberos及禁用后对各组件服务的测试。

02

【SpringSecurity】Spring Security 和Shiro对比

Spring Security 的前身是 Acegi Security，在被收纳为Spring子项目后正式更名为Spring Security。

03

Elasticsearch集群的身份验证、用户鉴权操作

ES作为一款当下非常流行的轻量级存储搜索引擎，其安全性也变得日益重要。否则就会非常容易造成敏感数据泄露的严重问题。主要是因为使用者并没有将ES的安全功能打开。那么出现这种问题产生的原因是什么呢？原因大致如下：

08

CDH7.1.1启用Kerberos

Kerberos是认证协议，它假设主机是可信任的，但是网络不是。Kerberos安全涉及三个关键实体：

02

CDP Base使用RM同步数据

Cloudera Replication Manager（以下简称为 RM,旧版本的CM中简称为BDR）为数据迁移提供了一个集成式的易用管理解决方案，通过界面化的方式可以非常便捷的定义不同集群之间的数据复制操作，本文主要介绍如何配置及使用RM进行HDFS和Hive 复制

01

了解GSSAPI和Kerberos

在计算机网络安全中，一种常见的需求是在不同的实体之间安全地进行身份验证。这可以是两台服务器之间，或者是用户与服务之间。为了满足这种需求，已经发展出了一些不同的身份验证机制。本文将对两种重要的机制进行详细的讨论：GSSAPI和Kerberos。

01

单点登录与授权登录业务指南

单点登录（SSO）是一种用户身份验证过程，允许用户使用单一的登录凭据来访问多个应用程序或服务。它减少了需要记忆多个用户名和密码的需求，提高了安全性和用户体验。SSO在企业环境中尤为重要，因为它简化了对多个内部和外部服务的访问过程。

02

CDP DC安全概述

作为旨在支持大量和类型的数据的系统，Cloudera集群必须满足监管机构，政府，行业和公众提出的不断发展的安全要求。Cloudera集群包含Hadoop核心和生态系统组件，必须保护所有这些组件免受各种威胁，以确保所有集群服务和数据的机密性、完整性和可用性。

02

云数据库HBase企业级安全解析

1.Access Controller coprocessor实现的ACL权限控制；

03

配置客户端以安全连接到Kafka集群- Kerberos

这是有关Apache Kafka安全性的简短博客文章系列的第一部分。在本文中，我们将说明如何配置客户端以使用不同的身份验证机制对集群进行身份验证。

02

PKI系统

PKI（Public Key Infrastructure，公钥基础设施）是一种密码学框架，用于安全地管理数字证书、公钥和私钥，以确保通信和数据的机密性、完整性和身份验证。PKI建立在公钥密码学的基础上，通过数字证书颁发机构（CA）和相关组件来实现安全通信和身份验证。以下是对PKI体系的详细介绍：

03

Spring Security与Java应用安全保护

Spring Security是一个强大且高度可定制的安全框架，致力于为Java应用提供身份认证和授权。

02

Uber 容器化 Apache Hadoop 基础设施的实践

随着 Uber 的业务持续增长，我们用了 5 年时间扩展 Apache Hadoop（本文中称为“Hadoop”），部署到了 21000 多台主机上，以支持多种分析和机器学习用例。我们组建了一支拥有多样化专业知识的团队来应对在裸金属服务器上运行 Hadoop 所面临的各种挑战，这些挑战包括：主机生命周期管理、部署和自动化，Hadoop 核心开发以及面向客户的门户。

01

Cloudera访问授权概述

授权是任何计算环境的基本安全要求之一。其目标是确保只有适当的人员或流程才能访问，查看，使用，控制或更改特定的资源，服务或数据。在使用各种CDH组件（Hive，HDFS，Impala等）部署来满足特定工作负载的任何集群中，不同的授权机制可以确保只有授权的用户或进程才能根据需要访问数据，系统和其他资源。理想情况下，授权机制可以利用身份验证机制，以便当用户登录系统（例如集群）时，将根据他们在系统中对应用程序，数据和其他资源的授权，对他们进行透明授权。。

01

PKI体系简介

PKI（Public Key Infrastructure，公钥基础设施）是一种密码学框架，用于安全地管理数字证书、公钥和私钥，以确保通信和数据的机密性、完整性和身份验证。PKI建立在公钥密码学的基础上，通过数字证书颁发机构（CA）和相关组件来实现安全通信和身份验证。以下是对PKI体系的详细介绍：

02

配置客户端以安全连接到Kafka集群–LDAP

在上一篇文章《配置客户端以安全连接到Kafka集群- Kerberos》中，我们讨论了Kerberos身份验证，并说明了如何配置Kafka客户端以使用Kerberos凭据进行身份验证。在本文中，我们将研究如何配置Kafka客户端以使用LDAP（而不是Kerberos）进行身份验证。

02

PutHiveStreaming

该处理器使用Hive流将流文件数据发送到Apache Hive表。传入的流文件需要是Avro格式，表必须存在于Hive中。有关Hive表的需求(格式、分区等)，请参阅Hive文档。分区值是根据处理器中指定的分区列的名称，然后从Avro记录中提取的。注意:如果为这个处理器配置了多个并发任务，那么一个线程在任何时候只能写入一个表。写入同一表的其他任务将等待当前任务完成对表的写入。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭