重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3. TGS 全称:ticket granting service 作用:为client生成某个服务的ticket 4. AD 全称:account database 作用:存储所有client的白名单,只有存在于白名单的client才能顺利申请到…

[From] https://www.cnblogs.com/ulysses-you/p/8107862.html 重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3. TGS 全称:ticket granting service 作用:为client生成某个服务的ticket 4. AD 全称…

1.背景 互联网从来就不是一个安全的地方.很多时候我们过分依赖防火墙来解决安全的问题,不幸的是,防火墙是假设"坏人"是来自外部的,而真正具有破坏性的攻击事件都是往往都是来自于内部的. 近几年,在thehackernews等网站上总会时不时看到可以看到一些因为数据安全问题被大面积攻击.勒索的事件.在Hadoop1.0.0之前,Hadoop并不提供对安全的支持,默认集群内所有角色都是可靠的.用户访问时不需要进行任何验证,导致恶意用户很容易就可以伪装进入集群进行破坏. 要保证Hadoop集群…

Kerberos 介绍 Kerberos 是一个网络认证的框架协议,其设计的初衷便是通过密钥系统为 Client 和 Server 应用程序之间提供强大的认证服务.在使用 Kerberos 认证的集群中,Client 不会直接和 Server 进行认证,而是通过 KDC(Key Distribution Center)来完成互相的认证.首先,我们需要简单的介绍下跟 Kerberos 相关的术语,如表 1 所示. 表 1.Kerberos 相关的术语 术语 简述 KDC(Key Distribut…

一.kerberos介绍 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证.可以用于防止窃听.防止replay攻击.保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统.支持SSO 二.kerberos三方安全认证协议 1.Kerberos协议分析:https://wenku.baidu.com/view/bc37d508f12d2af90242e6d5…

Kerberos介绍(全)   微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议.Windows Server 2003同时也实现了公钥身份认证的扩展.Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问.最初的用户身份验证是跟Winlogon的单点登录架构集成在一起的.Kerberos的KDC(Key…

配置参数管理 待补充... 资源分配管理(Admission Control) Impala有资源池的概念,允许某些查询在特定的资源池执行,不过在白天不跑批/晚上不跑adhoc的DSS系统中,该机制并不常用(oracle.cgroup性质都类似),有兴趣可以参考<Impala Guide 中的Admission Control and Query Queuing>. 安全管理(跟一般的RDBMS差不多,只不过认证和授权是外部的,比较复杂) Impala认证基于Kerberos框架<Ena…

转:Kerberos介绍(全)…

重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3. TGS 全称:ticket granting service 作用:为client生成某个服务的ticket 4. AD 全称:account database 作用:存储所有client的白名单,只有存在于白名单的client才能顺利申请到…

一.kerberos认证过程: client向kerberos服务请求,希望获取访问server的权限.kerberos得到了这个消息,首先得判断client是否是可信赖的,也就是白名单黑名单的说法.这就是AS服务完成的工作,通过在AD中存储黑名单和白名单来区分client.成功后,返回TGT给client.client得到了TGT后,继续向kerberos请求,希望获取访问server的权限.kerberos又得到了这个消息,这时候通过client消息中的TGT,判断出了client拥有了这个…

body{ font: 16px/1.5em 微软雅黑,arial,verdana,helvetica,sans-serif; }       Alfresco 是一个开源的企业内容管理系统(ECM),功能相对于微软的SharePoint, Documentum与FileNet这样的产品. 支持多国语言, 支持LDAP, NTLM, Kerberos,活动目录,支持与Ms Sharepoint,Google Docs的集成, 跨平台,支持Windows/Unix系统.基于Java平台开发,通过开…

转载请注明出处:http://www.cnblogs.com/xiaodf/ 之前的博客介绍了通过Kerberos + Sentry的方式实现了hive server2的身份认证和权限管理功能,本文主要介绍Spark SQL JDBC方式操作Hive库时的身份认证和权限管理实现. ThriftServer是一个JDBC/ODBC接口,用户可以通过JDBC/ODBC连接ThriftServer来访问SparkSQL的数据.ThriftServer在启动的时候,会启动了一个sparkSQL的应用程序…

1.1 What is Kerberos 1.1.1 简单介绍 Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),这意味着密钥不会在网络上传输.在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码. Kerberos利用对称加密和受信任的第三方(即KDC, key distribution center)来鉴别…

用过hbase的朋友可能都有过这样的疑问,我写一个java client,好像就提供了zookeeper quorum地址就连上hbase了,那么是不是存在安全问题?的确是,如何解决?hbase中引入了kerberos认证.我准备用两篇博文介绍hbase + kerberos的相关内容,本篇主要介绍kerberos的配置. 环境准备 kerberos简介 kerberos server配置 kerberos client配置 环境准备 这里我准备了三台server,各自安装上centos 6.5…

ftp ftp 命令使用文件传输协议(File Transfer Protocol, FTP)在本地主机和远程主机之间或者在两个远程主机之间进行文件传输. FTP 协议允许数据在不同文件系统的主机之间传输.尽管这个协议在传输数据上提供了高适应性,但是它并没有尝试去保留一个特定文件系统上的文件属性(例如一个文件的保护模式或者修改次数).而且 FTP 协议很少对一个文件系统的整体结构作假定,也不提供这样的功能,比如递归的拷贝子目录.在使用 ftp 命令时,需要注意 FTP 协议的这些特性.当需要保留…

前言 从2011年开始,中国进入大数据风起云涌的时代,以Hadoop为代表的家族软件,占据了大数据处理的广阔地盘.开源界及厂商,所有数据软件,无一不向Hadoop靠拢.Hadoop也从小众的高富帅领域,变成了大数据开发的标准.在Hadoop原有技术基础之上,出现了Hadoop家族产品,通过“大数据”概念不断创新,推出科技进步. 目录 Hadoop的发展史 Hadoop的发行版本的选择和介绍 1. Hadoop发展史 1.1Hadoop产生背景 Hadoop 最早起源于Nutch .Nutch 是…

之所以要翻译这篇文章,是因为提到了一些通常于对Kerberos协议简介性质的文章所没有提到的细节,而这些细节对于理解Kerberos的工作原理,以及Kerberos协议实现的使用都是很有必要的. 1.3 组件和术语的定义 这一节给了关于对象和术语的定义,对于这些的了解对于接下来关于Kerberos协议的描述是非常关键的.因为有些定义是基于其它定义的,所以我会尽量尝试按照顺序来讲解它们,以使得先给出它们的含义再给出定义(译注:这里原文有些怪怪的,不过大概意思就是按照术语出现的先后来解释它们).尽管…

言归正传,介绍过hadoop的simple认证和kerberos后,我们在这一章介绍hadoop的kerberos认证 我们还使用hadoop集群的机器. OS 版本: Centos6.4 Kerberos版本: krb5-1.10.3 环境配置 机器名 Ip地址 功能 安装模块 ganglia.localdomain 192.168.124.140 Kerberos server krb5-libs krb5-server krb5-workstation krb5-devel hadoop1…

当我们使用Windows Authentication去连接SQL Server的时候,SQL Server可能会使用Kerberos或者是NTLM来进行认证,有时间就会因为认证失败的缘故造成各种登录错误(login failed).解决这些问题往往令人很迷惑.今天我们就来做一个简单的介绍. 1. Kerberos VS NTLM NTLM认证:Challenge – Response 模式 在使用NTLM协议时,客户端发送用户名到服务器端:服务器生成一个challenge并发送给客户端:客户端…

configure脚本有大量的命令行选项. 下面对每一个选项进行简略的介绍: --cache-file=FILE'configure' 会在你的系统上测试存在的特性(或者bug!).为了加速随后进行的配置,测试的结果会存储在一个cache file里.当configure一个每个子树里都有'configure'脚本的复杂的源码树时,一个很好的cache file的存在会有很大帮助. --no-create'configure'中的一个主要函数会制作输出文件.此选项阻止'configure'生成这…

参考文献: How the Kerberos Version 5 Authentication Protocol Works: Logon and Authentication SQL Kerberos的原理及实验 SQL Server配置delegation实现double-hop 前言 之前写过两篇关于kerberos的博客,但是对于kerberos的验证过程还不够透彻,现在来详细讲解kerberos的验证过程. 1.Kerberos Exchange and Message Summary…

Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中.了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题.为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程.欢迎斧正! Kerberos解决什么问题? 简单地说,Kerberos提供了一种单点登录(SSO)的方法.考虑这样一个场景,在一个网络中有不同的服务器,比如,打印服务器.邮件服务器和文件服务器.这些服务器都有认证的需求.很自然的,不可能让每…

Linux系统启动过程介绍 学习操作系统有必要了解一下系统的启动过程,这样在面对各种系统故障的时候能快速定位解决问题,下面以Centos来分析linux系统的启动过程. 1.BIOS自检:当开机的时候,系统进行bios自检工作,当识别出第一块硬盘(IDE SCSI)及其空间之后,系统控制将从BIOS传递到引导装载程序 2.引导装载程序(grub lilo):装载第一块硬盘的前512个字节的物理数据扇区即主引导区MBR到内存中,位于此扇区开始位置的引导装载程序将接管系统控制. (也可以这么理解,在…

有了virt-install是安装虚拟机的命令,当然也需要一个管理虚拟机的命令了,那就是virsh. virsh命令使用 virsh <command> <domain-id> [OPTIONS] virsh既有命令行模式,也有交互模式,在命令行直接输入virsh就进入交互模式,virsh 后面跟命令参数,则是命令行模式.下面主要介绍交互式用法. virsh 回车 help <command> 单独help命令会显示所有的可用命令,如果后面有command,则会简单的解…

通常,一个Hadoop集群的安全使用kerberos来进行保障.在启用Kerberos后,需要用户进行身份验证.用户通过验证后可以使用GRANT/REVOKE语句来进行基于角色的访问控制.本文介绍一下在CDH集群中如何配置kerberos. 1.KDC安装和配置脚本 脚本install_kerberos.sh可以完成kerberos服务器所有安装配置和相应的参数配置 #!/bin/bash # echo "ready to install and config kerberos" #…

Libvirt介绍 Libvirt与hypervisor无关,其提供与多种操作系统虚拟化能力进行交互的API与工具库. Libvirt提供了一个通用稳定的抽象层,可以安全的操作物理机上的虚拟机,同时为了可以远程交互,Libvirt在hypervisor支持的范围内提供了创建,修改,监控,迁移,停止 domain的一系列API,虽然可以使用Libvirt同时访问多个物理机,但是API层做了限制,只允许访问单个物理机. Libvirt被设计为可以支持多种虚拟化环境,这意味着大部分通用的能力在API上…

1. 概述 本文首先会简单介绍Kylin的安装配置,然后介绍启用Kerberos的CDH集群中如何部署及使用Kylin. Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区.它能在亚秒内查询巨大的Hive表. 1.2 环境说明 CDH版本:5.11.2 Linux版本:7.4.1708 Docker版本:Docker version 18.06.0-ce…

端口大全介绍 2端口:管理实用程序 3端口:压缩进程 5端口:远程作业登录 7端口:回显 9端口:丢弃 11端口:在线用户 13端口:时间 17端口:每日引用 18端口:消息发送协议 19端口:字符发生器 20端口:FTP文件传输协议(默认数据口) 21端口:FTP文件传输协议(控制) 22端口:SSH远程登录协议 23端口:telnet(终端仿真协议),木马Tiny Telnet Server开放此端口 24端口:预留给个人用邮件系统 25端口:SMTP服务器所开放的端口,用于发送邮件 27端…

Ansible介绍 Ansible是个什么东西呢?官方的title是"Ansible is Simple IT Automation"--简单的自动化IT工具.ansible基于Python开发,集合了众多运维工具(puppet.cfengine.chef.func.fabric)的优点,实现了批量系统配置.批量程序部署.批量运行命令等功能.Ansible和目前市面上一些其它的项目管理工具有很大的不同,它的设计初衷就是为了更方便.快捷的进行配置管理.它易于安装和使用.语法也非常简单易学…

1.1 环境介绍   参考博客:https://www.cnblogs.com/xiaodf/p/5968178.html https://www.douban.com/note/701660289/ https://www.freebsd.org/doc/zh_CN/books/handbook/kerberos5.html 1.环境介绍 # 注:安装kerberos前,要确保主机名可以被解析. 主机名 内网IP 角色 linux-node1.example.com 192.168.56.11…