第五章 FusionInsight 技术基础 - Kerberos架构原理

HCNP,FusionInsight,R2CXX,1.0,2015.10,黄世友/183579,新开发,张伟/00301377,Kerberos架构原理,学完本课程后，您将能够：描述Kerberos和Ldap特性掌握Kerberos和Ldap维护操作,Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性Kerberos、Ldap维护,Kerberos介绍,Kerberos是FusionInsight的安全认证模块，该系统设计上采用客户端/服务器结构。采用DES(DataEncryptionStandard标准加密技术)、AES(AdvancedEncryptionStandard高级加密技术)等加密技术，并且客户端和服务器端均可对对方进行身份认证。,Kerberos基本概念,票据授权票(TGTTicket-GrantingTicket)：用于应用程序客户端与KDC(KeyDistributionCenter密钥分发中心)服务器建立安全会话的票据。服务票据(STServiceTicket)：用于应用程序客户端与服务端建立安全会话的票据。,Ldap介绍,Ldap(LightweightDirectoryAccessProtocol)，轻量目录访问协议，提供被称为目录服务的信息服务。Ldap运行在TCP/IP或其他面向连接的传输服务之上。,Ldap文件结构,LDAP信息模型是基于条目来组织地，一个条目是一个属性的集合，有一个全球唯一的识别名（DN,DomainName）。DN用于标识条目，每个条目的属性有一个类型和一个或多个值。该类型通常是可记忆的字符串，如“cn”就是标识通用名称，或者“电子邮件”就是电子邮件地址。在Ldap文件结构中,目录条目都被排列在一个分层树形结构。一般来说，这种结构反映了地域和/或组织界限。基于国家的结构：代表国家的条目出现在树的顶端，下面是代表省和国家组织的条目，再下面可能是代表组织单位、人、打印机等（图1.1）。基于域的结构：顶层是特定的域（比如：com代表商业结构，edu代表教育机构等），下面是公司，在下面是公司内的组织关系（图1.2）。,Ldap文件结构国家,Ldap文件结构域,图1.2,Kerberos、Ldap概述Kerberos、Ldap原理Kerberos应用场景Kerberos认证原理Ldap访问原理Kerberos、Ldap特性Kerberos、Ldap维护,Kerberos应用场景,Kerberos认证在FusionInsight中主要用于应用程序访问集群中组件资源的场景。安全模式下，访问FusionInsight集群中的任何服务（如HDFS）之前均需要通过Kerberos认证，建立安全会话链接，如下逻辑结构图。,Application,KDC,HDFS,Login获取TGT,获取ST,查询文件系统,数据库,服务端,客户端,1.KRB_AS_REQ,2.KRB_AS_REP,3.KRB_TGS_REQ,4.KRB_TGS_REP,5.KRB_AP_REQ,6.KRB_AP_REP,Kerberos认证原理,票据授权服务器(TGS),认证服务器(AS),Kerberos架构原理,Ldap访问原理,安装集群前OmsLdap数据同步,安装集群后Ldap数据同步,Ldap访问原理（续）,Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性集群内服务认证二次开发认证LdapHA机制Kerberos、Ldap维护,集群内服务认证,FusionInsight安全模式：集群内任意服务间的相互访问都是基于Kerberos安全方案架构实现，集群内某个服务(如HDFS)启动时，会预先去Kerberos中获取服务对应的sessionkey（keytab，主要是提供给应用程序进行身份认证使用），后续其他服务（如Yarn）需要去HDFS中执行增/删/改/查数据时，必须获取到对应的TGT和ST，用于安全访问。,二次开发认证,FusionInsight提供了二次开发接口，用于客户或者上层业务产品集成使用。二次开发过程中，安全模式集群提供了特定的二次开发认证接口，用于安全访问，例如hadoop-commonapi提供的UserGroupInformation类，该类提供了多个安全认证api接口：setConfiguration()主要是获取对应的配置，设置全局变量参数。loginUserFromKeytab()获取TGT接口。认证流程可以参考Kerberos基本原理章节。,LdapHA机制,FusionInsight中集成的Ldap服务提供了HA机制，提升Ldap的高可靠性，具体配置如下：,Kerberos、Ldap概述Kerberos、Ldap原理Kerberos、Ldap特性Kerberos、Ldap维护Kerberos、Ldap部署Kerberos、Ldap参数介绍Kerberos、Ldap常用命令,常用角色部署方式,Kerberos服务角色：KerberosServer、KerberosAdminKerberos服务采用双主模式部署。kerberos服务可以安装到集群内任意两个节点。Ldap服务角色：LdapServerLdap服务采用主备模式部署。LdapServer服务