大数据权限管理sentry与Kerberos概述
大数据权限管理sentry与Kerberos概述
常见的解决方案分为两部分
1. 管理用户身份*即用户身份认证
2. 用户身份和权限的映射关系管理 即授权
而Hadoop中常见的开源解决方案是Kerberos(认证)+LDAP(授权),LDAP则是授权的环节,常见的解决方案有Ranger,Sentry等,Ranger与Sentry是不同的厂商开发出的所以在不同的平台需要用不同的框架,去进行授权的管理,CDH使用Sentry,Apache使用Ranger。
解决了什么问题:
1. 大数据每个组件(Hive/Hbase等)都有自己定义的权限管理,可以做到权限管理统一和简化
2. 当我们多个作业需要操作数据时,可以去做到数据的共享,因为不同的用户作业具有不同的用户权限
3. 当我们的服务与集群交互,编程和接入方式变得多样时,可以减少了权限管控的难度使权限管控更加细粒度化
4. 由于不同的作业具有不同的操作权限,可以使我们的存储、计算、查询框架之间数据的互通串联能力更强
一、CDH sentry权限管理框架简介
1.1.可以做到什么?
- 采用RBAC模型设计出来的框架,用户身份和权限的映射关系管理,也就是授权
- 防止用户误操作,因为不同的用户只能根据他的权限去操作数据
- 系统管理员可以在任何时候任何情况下去干扰一个作业或者数据
- 在不同的场景下每个用户可以扮演不同的角色,多个框架
- 当团队大了之后可以更加明确团队成员责任
1.2.解决了什么问题?
- 数据的敏感程度不同,对安全等级的区分和管控粒度的要求
- 各个组件自身架构在权限管控这块的实现可能千差万别,如何统一和简化的问题
- 分布式的集群场景,海量的数据对象,对权限管控流程的性能,效率,可维护性的要求
- 各种服务和集群多样的交互,编程和接入方式,增加了权限管控的范围和难度
- 数据的流动性本质,对权限的动态变更能力的需求
1.3.存在的问题?
1. 用户认证问题,避免用户自己为自己赋权限
1.3.1 解决方法
- Kerberos框架去实现用户认证
二、CDH Kerberos身份验证架简介
2.1.干什么的?
- Kerberos是Hadoop生态系中应用最广的集中式统一用户认证管理框架。
- 提供一个集中式的身份验证服务器,所有用户认证都是在Kerberos服务框架中统一管理
2.2.解决了什么问题?
- 管理用户身份,也就是用户身份认证
- 避免恶意伪装的钓鱼服务骗取用户信息的可能性。
2.3 核心思想
Kerberos最核心的思想是基于秘钥的共识,有且只有中心服务器知道所有的用户和服务的秘钥信息,如果你信任中心服务器,那么你就可以信任中心服务器给出的认证结果。
此外很重要的一点,从流程上来说,Kerberos不光验证的用户真实性,实际上也验证了后台服务的真实性, 所以他的身份认证是双向认证,后台服务同样是通过用户,密码的形式登记到系统中的,避免恶意伪装的钓鱼服务骗取用户信息的可能性。
2.3.存在问题?
- 实施起来比较繁琐,因为每个服务都需要去接入Kerberos来进行认证
版权声明:本博客为记录本人自学感悟,转载需注明出处!
https://me.csdn.net/qq_39657909
大数据权限管理sentry与Kerberos概述相关推荐
- 大数据权限管理组件Apache Ranger简介和原理
大数据权限管理组件Apache Ranger简介和原理 一.什么是Ranger 二.Ranger的管理页面和Ranger支持的框架 三.Ranger的目标 四.Ranger架构 五.Ranger的工作 ...
- 深入探讨大数据权限管理方案-从哲学到技术
大数据平台的权限管理工作,听起来不就是用户和密码管理这点事么?找个数据库存储一下两者的映射关系,然后再找个地方记录一下每个人可以做什么事,最后在需要的时候验证一下就好了,如果不讨论各种加解密原理和算法 ...
- 大数据权限管理-Security和hue案例操作(3)
目录 一.需求及说明 二.大数据平台权限管理明细表 1) 角色和用户分配 2) 角色和权限分配 三.创建hue用户及分组 1)用户登录及查看 2)增加Hue组及用户分配 四.创建linux用户及分组 ...
- 大数据权限管理利器 - Ranger
1. 介绍 Ranger是HDP体系统中安全管理的重要一环.它提供了具体资源(如HBase中的具体表)权限管控.访问监控.数据加密的功能. 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件 ...
- 大数据平台数据权限管理设计
背景和范围 当前大数据团队没有一个统一的操作权限控制和管理平台,对于分析师在服务器上的权限,目前都是给予对应分析节点的EC2机器账号,且为了方便操作和管理都是给予的管理员权限,因此安全性风险较大:对于 ...
- 【大数据】大数据 Hadoop 管理工具 Apache Ambari(HDP)
文章目录 一.概述 二. Ambari 与 HDP 关系 三.Ambari 与 Cloudera manager 的对比 1)开源性 2)支持的发行版 3)用户界面 4)功能和扩展性 5)社区支持和生 ...
- 大快搜索城市运河大数据政务管理平台案例解读
2019独角兽企业重金招聘Python工程师标准>>> 大快搜索城市运河大数据政务管理平台案例解读 大数据在政务当中的应用对于提高问题解决的效率可谓大有帮助,但政务大数据平台的应用开 ...
- 百度超级链新专利曝光,降低隐私数据权限管理难度
年初,多家媒体报道百度公开了一项名为"区块链的隐私数据处理方法.装置.设备以及存储介质"的专利信息.该专利由百度超级链团队研发,旨在降低隐私数据权限管理的复杂度,可广泛用于云计算和 ...
- 商业智能BI工具Qlik入门第二步:创建可视化、数据权限管理和发布
Qlik Sense是下一代自助式数据可视化工具,它让每个人都能够轻松地凭直觉创建一系列灵活.交互的可视化应用去浏览.发现数据. Qlik Sense基于QIX关联数据索引引擎-QIX是Qlik的第二 ...
最新文章
- Java数据结构和算法(二)——数组
- 面试官问我有环链表中怎么找到入口,本以为很简单当场却想傻了
- 终于完全弄懂了KMP(个人理解篇)
- 前端学习(2193):vuex概念和作用分析
- php正则学习,php中正则表达式的学习及应用
- 做能及之事,过平淡的日子,烦事多忘,好事多为
- 【华为大咖分享】1.云上开发,代码托管只是第一步(后附PPT下载地址)
- 国二c语言考试分值,计算机二级C语言题型和评分标准
- Linux 配置IP
- YOLOv5瓷砖表面瑕疵质检
- 解决 IDEA 导入项目 中文乱码
- Nagios③:文件初探
- 多行文本展开收起(css)
- 完美解决python manage.py makemigrations 报错
- TransCenter: Transformers with Dense Queries for Multiple-Object Tracking
- 计算机等级考试四级网络工程师必备考点总结
- Apache HttpClient
- 【OpenGL开发】VS2017+nuget配置OpenGL开发环境
- java中poi导出Excel表格(前台流文件接收)
- centos 监视文件变动脚本
热门文章
- OSR(on-stack replacement) IN V8
- IDEA 插件的设置和引用,以及插件库
- 【JavaIO流】JavaIO中的常用处理流
- ubuntu16.04安装网易云音乐方法出现问题及解决方法(桌面图标打不开、不能输入中文等问题)
- 报童、钱包和迪米特法则(设计模式迪米特原则经典论文翻译)
- (非usb方式)树莓派4BCentos系统下使用SIM7600G-H进行4G上网(PPPD模式)(直接插在树莓派上使用)
- 公信宝区块链技术和应用白皮书
- C++库和C库的区别
- Ext4 超级块详解
- python怎么在图片上写字_python如何实现内容写在图片上