[发明专利]一种hadoop的身份认证机制构建方法

说明书

技术领域

本发明涉及身份认证领域，尤其涉及一种hadoop的身份认证机制构建方法。

背景技术

大数据时代为hadoop提供了诸多机会。hadoop凭借其在海量数据的良好扩展性、高效的读写以及处理能力，受到了重视。然而，在众多机遇的背后，hadoop也面临着很多挑战。如何保证hadoop的安全性自然就成了一个绕不开的话题，没有访问控制，存储其中的数据可以被随意访问甚至执行删改等误操作，会造成很多潜在的风险。因此，hadoop的访问控制，就成为了一个很重要的需求。

在不含身份认证的hadoop环境中，用户与hadoop分布式文件系统(HDFS)或者M/R进行交互时并不需要进行验证，恶意用户可以伪装成真正的用户或者服务器入侵hadoop集群，恶意提交mapreduce作业，更改JobTracker状态，修改HDFS上的数据等。

目前HDFS增加了文件和目录的权限认证，但是这些只能对偶然的数据丢失起保护作用。恶意用户可以轻易的伪装成其他用户来修改权限，致使权限设置形同虚设，不能够对hadoop集群起到安全保障。

Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。

发明内容

本发明提供一种hadoop的身份认证机制构建方法，用来解决现有技术中hadoop访问控制不安全，集群节点可能被冒充的问题。

为了解决上述技术问题，本发明提供一种hadoop的身份认证机制构建方法，包括以下步骤：构建密钥分配中心(KDC)服务器；分别为hadoop集群内所有节点创建hdfs principal、mapred principal及HTTP principal；创建包含hdfs principal和HTTP principal的hdfs.keytab文件；创建包含mapred principal和HTTP principal的mapred.keytab文件。

进一步地，所述hadoop的身份认证机制是通过kerberos协议完成的。

进一步地，所述hadoop的身份认证机制构建方法，还包括以下步骤：使用合并后的hdfs.keytab文件和mapred.keytab文件获取证书，并部署hdfs.keytab文件和mapred.keytab文件，以使hdfs和mapred用户可以访问。

本发明所提供的hadoop的身份认证机制构建方法为hadoop集群提供了基于kerberos协议的可靠、高效且操作简单的身份认证机制，确保恶意用户无法伪装成真正的用户或者服务器入侵hadoop集群，提交mapreduce作业，更改JobTracker状态，修改HDFS上的数据等恶意操作，极大地确保了hadoop集群的可靠安全性。

附图说明

图1所示为根据本发明较佳实施例提供的hadoop的身份认证机制构建方法的流程图。

具体实施方式

下面结合附图及具体实施例方式对本发明作进一步详细描述。

以如下的现有环境为例进行说明：一个可用的系统包yum源(本地、网络均可)；一个可用的三个节点的hadoop集群环境，且三个节点的主机名分别为：node01.test.com、node02.test.com、node03.test.com。

如图1所示，具体步骤描述如下。

于步骤S1，安装kerberos服务所需的安装包，并修改相关配置文件，构建密钥分配中心(KDC)服务器。具体而言，所有节点安装krb5-workstation、krb5-workstation及其依赖包，KDC节点另外安装krb5-server。

于步骤S2，创建新的principal数据库为hadoop集群使用。其中，principal表示参加kerberos认证的基本实体(例如，客户端或服务器端)。

于步骤S3，更改kerberos的相关配置，创建kerberos远程管理的管理员。具体如下：更改配置文件/etc/krb5.conf；更改配置文件/var/kerberos/krb5kdc/kdc.conf；更改配置文件/var/kerberos/krb5kdc/kadm5.acl；并将/etc/krb5.conf拷贝到其他节点的相同目录替换。