Безопасность HiveSever2 с использованием knox

CASE1: я хочу защитить куст с помощью knox. Поэтому я сделал интеграцию между hive ldap и knox. Я могу получить доступ к hive server2 с помощью драйвера excel и odbc, используя knox, а также jdbc. случаться

Подключение к jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice

CASE2: я включил аутентификацию LDAP на hive-server2, теперь вход в beeline по умолчанию отключен, только LDAP разрешен с использованием порта 10001. Но знайте, когда я тестирую его через knox, я получаю сообщение об ошибке «Неверные учетные данные».

Как я могу отключить использование входа по умолчанию в случае 1. Или, если мне нужно использовать случай 2, как я могу решить эту проблему.


hive hortonworks-data-platform openldap beeline knox-gateway
person anwaar_hell    schedule 10.10.2016    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вы описываете тот факт, что ваше развертывание Hadoop не блокирует прямой доступ к серверным службам с помощью сетевой безопасности, брандмауэров и т. д., и что вы не защищаете кластер с помощью kerberos.

На самом деле это не проблема Knox, а проблема развертывания вашего кластера. Если вы не защищаете свой кластер брандмауэром и не выполняете его керберизацию, пользователи могут напрямую обращаться к службам и обходить механизм аутентификации в шлюзе.

В идеале вы должны защитить свой кластер (включая HiveServer2), который потребует от пользователей аутентификации через kerberos/SPNEGO. Затем Knox будет настроен как доверенный прокси-сервер, что позволит ему действовать от имени конечных пользователей в определенном наборе групп/групп. Knox будет аутентифицировать себя в HS2 и подтверждать личность конечного пользователя для выполнения заданий Hive.

Надеюсь, что это полезно.

person lmccay    schedule 11.10.2016
comment
@Imccay.. Хорошо, из того, что вы объяснили, и я погуглил, я считаю, что не могу использовать второй случай. Я имею в виду, что не могу защитить куст с помощью LDAP, а затем получить к нему доступ с помощью KNOX (который также использует LDAP). Поскольку доступ к HS2 через 10001 является прямым доступом мне нужно заблокировать его с помощью kerberos и защитить мой кластер и использовать прокси-шлюз knox для доступа к нему с помощью JDBC, а также мои внешние пользователи должны использовать этот прокси для доступа HS2 ... большое спасибо за ваше объяснение. - person anwaar_hell; 11.10.2016