Hadoop基础-HDFS安全管家之Kerberos实战篇

　　　　　　　　　　　　　　Hadoop基础-HDFS安全管家之Kerberos实战篇

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　作者：尹正杰

版权声明：原创作品，谢绝转载！否则将追究法律责任。

　　我们都知道hadoop有很多不同的发行版，比如：Apache Hadoop，CDH，HDP，MapR，EMR等等，我们使用这些组件部署的hdfs分布式文件系统时，都会面临很直接的一个安全问题，比如Java大数据开发工程师可以在java源代码中使用“System.setProperty("HADOOP_USER_NAME","yinzhengjie");”来提权操作，只要client能够连接上hadoop集群就能或得hadoop集群上“yinzhengjie”这个用户对应的权限。这样做是很不安全的！而实行Kerberos后，任意机器的任意用户都必须现在 Kerberos 的 KDC 中有记录，才允许和集群中其它的模块进行通信。

一.Kerberos工作原理

如上图所示，详细步骤如下：
>.用户发送自己的用户信息给KDC;
>.KDC访问AS服务，获得TGT;
>.KDC用client key加密TGT以及一个Session Key给用户;用户得到加密数据后，使用client key解密得到TGT和Session Key;
>.Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC;
>.认证用户合法后，KDC中的TGS将Session Key和用户名，用户地址（IP），服务名，有效期, 时间戳一起包装成一个Ticket;
>.KDC将Ticket用Server key加密并发送Client;
>.此时Client没有密钥B所以他无法查看Ticket中的内容，于是Client将Ticket直接转发Service；同时Client将自己的用户名，用户地址（IP）打包成Authenticator，用之前获得的Session Key加密也发送给Service。
>.客户端验证过程:Service 收到Ticket后利用它与KDC之间的Server key将Ticket中的信息解密出来，从而获得Session Key和用户名，用户地址（IP），服务名，有效期。然后再用SK将Authenticator解密从而获得用户名，用户地址（IP）将其与之前Ticket中解密出来的用户名，用户地址（IP）做比较，从而验证Client的身份。
>.如果Service有返回结果，将其返回给Client。在Hadoop应用中，服务器可以是namenode或jobtracker。

简单的说，使用Kerberos时，一个客户端大致需要经过三个步骤来获取服务:
    >.认证：
        客户端向认证服务器发送一条报文，并获取一个含时间戳的Ticket-Granting Ticket（TGT）和一个Session Key。
    >.授权：
        客户端使用TGT向Ticket-Granting Server（TGS）请求一个服务Ticket。
    >.服务请求：
        客户端向服务器出示服务Ticket，以证实自己的合法性。该服务器提供客户端所需服务，在Hadoop应用中，服务器可以是namenode或jobtracker。

温馨提示：
    Kerberos需要The Key Distribution Centers（KDC）来进行认证。KDC只有一个Master，可以带多个slaves机器。slaves机器仅进行普通验证。Mater上做的修改需要自动同步到slaves。另外，KDC需要一个admin，来进行日常的管理操作。这个admin可以通过远程或者本地方式登录。

二.Kerberos部署实战

三.