大数据权限管理sentry与Kerberos概述

常见的解决方案分为两部分

1. 管理用户身份*即用户身份认证
2. 用户身份和权限的映射关系管理 即授权

而Hadoop中常见的开源解决方案是Kerberos(认证)+LDAP(授权),LDAP则是授权的环节,常见的解决方案有Ranger,Sentry等,Ranger与Sentry是不同的厂商开发出的所以在不同的平台需要用不同的框架,去进行授权的管理,CDH使用Sentry,Apache使用Ranger。

解决了什么问题:

1. 大数据每个组件(Hive/Hbase等)都有自己定义的权限管理,可以做到权限管理统一和简化
2. 当我们多个作业需要操作数据时,可以去做到数据的共享,因为不同的用户作业具有不同的用户权限
3. 当我们的服务与集群交互,编程和接入方式变得多样时,可以减少了权限管控的难度使权限管控更加细粒度化
4. 由于不同的作业具有不同的操作权限,可以使我们的存储、计算、查询框架之间数据的互通串联能力更强

一、CDH sentry权限管理框架简介

1.1.可以做到什么?

  1. 采用RBAC模型设计出来的框架,用户身份和权限的映射关系管理,也就是授权
  2. 防止用户误操作,因为不同的用户只能根据他的权限去操作数据
  3. 系统管理员可以在任何时候任何情况下去干扰一个作业或者数据
  4. 在不同的场景下每个用户可以扮演不同的角色,多个框架
  5. 当团队大了之后可以更加明确团队成员责任

1.2.解决了什么问题?

  1. 数据的敏感程度不同,对安全等级的区分和管控粒度的要求
  2. 各个组件自身架构在权限管控这块的实现可能千差万别,如何统一和简化的问题
  3. 分布式的集群场景,海量的数据对象,对权限管控流程的性能,效率,可维护性的要求
  4. 各种服务和集群多样的交互,编程和接入方式,增加了权限管控的范围和难度
  5. 数据的流动性本质,对权限的动态变更能力的需求

1.3.存在的问题?

1.   用户认证问题,避免用户自己为自己赋权限

1.3.1 解决方法

  1. Kerberos框架去实现用户认证

二、CDH Kerberos身份验证架简介

2.1.干什么的?

  1. Kerberos是Hadoop生态系中应用最广的集中式统一用户认证管理框架。
  2. 提供一个集中式的身份验证服务器,所有用户认证都是在Kerberos服务框架中统一管理

2.2.解决了什么问题?

  1. 管理用户身份,也就是用户身份认证
  2. 避免恶意伪装的钓鱼服务骗取用户信息的可能性。

2.3 核心思想

​ Kerberos最核心的思想是基于秘钥的共识,有且只有中心服务器知道所有的用户和服务的秘钥信息,如果你信任中心服务器,那么你就可以信任中心服务器给出的认证结果。
​ 此外很重要的一点,从流程上来说,Kerberos不光验证的用户真实性,实际上也验证了后台服务的真实性, 所以他的身份认证是双向认证,后台服务同样是通过用户,密码的形式登记到系统中的,避免恶意伪装的钓鱼服务骗取用户信息的可能性。

2.3.存在问题?

  1. 实施起来比较繁琐,因为每个服务都需要去接入Kerberos来进行认证

版权声明:本博客为记录本人自学感悟,转载需注明出处!
https://me.csdn.net/qq_39657909

大数据权限管理sentry与Kerberos概述相关推荐

  1. 大数据权限管理组件Apache Ranger简介和原理

    大数据权限管理组件Apache Ranger简介和原理 一.什么是Ranger 二.Ranger的管理页面和Ranger支持的框架 三.Ranger的目标 四.Ranger架构 五.Ranger的工作 ...

  2. 深入探讨大数据权限管理方案-从哲学到技术

    大数据平台的权限管理工作,听起来不就是用户和密码管理这点事么?找个数据库存储一下两者的映射关系,然后再找个地方记录一下每个人可以做什么事,最后在需要的时候验证一下就好了,如果不讨论各种加解密原理和算法 ...

  3. 大数据权限管理-Security和hue案例操作(3)

    目录 一.需求及说明 二.大数据平台权限管理明细表 1) 角色和用户分配 2) 角色和权限分配 三.创建hue用户及分组 1)用户登录及查看 2)增加Hue组及用户分配 四.创建linux用户及分组 ...

  4. 大数据权限管理利器 - Ranger

    1. 介绍 Ranger是HDP体系统中安全管理的重要一环.它提供了具体资源(如HBase中的具体表)权限管控.访问监控.数据加密的功能. 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件 ...

  5. 大数据平台数据权限管理设计

    背景和范围 当前大数据团队没有一个统一的操作权限控制和管理平台,对于分析师在服务器上的权限,目前都是给予对应分析节点的EC2机器账号,且为了方便操作和管理都是给予的管理员权限,因此安全性风险较大:对于 ...

  6. 【大数据】大数据 Hadoop 管理工具 Apache Ambari(HDP)

    文章目录 一.概述 二. Ambari 与 HDP 关系 三.Ambari 与 Cloudera manager 的对比 1)开源性 2)支持的发行版 3)用户界面 4)功能和扩展性 5)社区支持和生 ...

  7. 大快搜索城市运河大数据政务管理平台案例解读

    2019独角兽企业重金招聘Python工程师标准>>> 大快搜索城市运河大数据政务管理平台案例解读 大数据在政务当中的应用对于提高问题解决的效率可谓大有帮助,但政务大数据平台的应用开 ...

  8. 百度超级链新专利曝光,降低隐私数据权限管理难度

    年初,多家媒体报道百度公开了一项名为"区块链的隐私数据处理方法.装置.设备以及存储介质"的专利信息.该专利由百度超级链团队研发,旨在降低隐私数据权限管理的复杂度,可广泛用于云计算和 ...

  9. 商业智能BI工具Qlik入门第二步:创建可视化、数据权限管理和发布

    Qlik Sense是下一代自助式数据可视化工具,它让每个人都能够轻松地凭直觉创建一系列灵活.交互的可视化应用去浏览.发现数据. Qlik Sense基于QIX关联数据索引引擎-QIX是Qlik的第二 ...

最新文章

  1. Java数据结构和算法(二)——数组
  2. 面试官问我有环链表中怎么找到入口,本以为很简单当场却想傻了
  3. 终于完全弄懂了KMP(个人理解篇)
  4. 前端学习(2193):vuex概念和作用分析
  5. php正则学习,php中正则表达式的学习及应用
  6. 做能及之事,过平淡的日子,烦事多忘,好事多为
  7. 【华为大咖分享】1.云上开发,代码托管只是第一步(后附PPT下载地址)
  8. 国二c语言考试分值,计算机二级C语言题型和评分标准
  9. Linux 配置IP
  10. YOLOv5瓷砖表面瑕疵质检
  11. 解决 IDEA 导入项目 中文乱码
  12. Nagios③:文件初探
  13. 多行文本展开收起(css)
  14. 完美解决python manage.py makemigrations 报错
  15. TransCenter: Transformers with Dense Queries for Multiple-Object Tracking
  16. 计算机等级考试四级网络工程师必备考点总结
  17. Apache HttpClient
  18. 【OpenGL开发】VS2017+nuget配置OpenGL开发环境
  19. java中poi导出Excel表格(前台流文件接收)
  20. centos 监视文件变动脚本

热门文章

  1. OSR(on-stack replacement) IN V8
  2. IDEA 插件的设置和引用,以及插件库
  3. 【JavaIO流】JavaIO中的常用处理流
  4. ubuntu16.04安装网易云音乐方法出现问题及解决方法(桌面图标打不开、不能输入中文等问题)
  5. 报童、钱包和迪米特法则(设计模式迪米特原则经典论文翻译)
  6. (非usb方式)树莓派4BCentos系统下使用SIM7600G-H进行4G上网(PPPD模式)(直接插在树莓派上使用)
  7. 公信宝区块链技术和应用白皮书
  8. C++库和C库的区别
  9. Ext4 超级块详解
  10. python怎么在图片上写字_python如何实现内容写在图片上