技術領域

本發明涉及身份認證領域，尤其涉及一種hadoop的身份認證機制構建方法。

背景技術

大數據時代為hadoop提供了諸多機會。hadoop憑借其在海量數據的良好擴展性、高效的讀寫以及處理能力，受到了重視。然而，在眾多機遇的背后，hadoop也面臨著很多挑戰。如何保證hadoop的安全性自然就成了一個繞不開的話題，沒有訪問控制，存儲其中的數據可以被隨意訪問甚至執行刪改等誤操作，會造成很多潛在的風險。因此，hadoop的訪問控制，就成為了一個很重要的需求。

在不含身份認證的hadoop環境中，用戶與hadoop分布式文件系統(HDFS)或者M/R進行交互時并不需要進行驗證，惡意用戶可以偽裝成真正的用戶或者服務器入侵hadoop集群，惡意提交mapreduce作業，更改JobTracker狀態，修改HDFS上的數據等。

目前HDFS增加了文件和目錄的權限認證，但是這些只能對偶然的數據丟失起保護作用。惡意用戶可以輕易的偽裝成其他用戶來修改權限，致使權限設置形同虛設，不能夠對hadoop集群起到安全保障。

Kerberos協議主要用于計算機網絡的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(ticket-granting?ticket)訪問多個服務，即SSO(Single?Sign?On)。由于在每個Client和Service之間建立了共享密鑰，使得該協議具有相當的安全性。

發明內容

本發明提供一種hadoop的身份認證機制構建方法，用來解決現有技術中hadoop訪問控制不安全，集群節點可能被冒充的問題。

為了解決上述技術問題，本發明提供一種hadoop的身份認證機制構建方法，包括以下步驟：構建密鑰分配中心(KDC)服務器；分別為hadoop集群內所有節點創建hdfs?principal、mapred?principal及HTTP?principal；創建包含hdfs?principal和HTTP?principal的hdfs.keytab文件；創建包含mapred?principal和HTTP?principal的mapred.keytab文件。

進一步地，所述hadoop的身份認證機制是通過kerberos協議完成的。

進一步地，所述hadoop的身份認證機制構建方法，還包括以下步驟：使用合并后的hdfs.keytab文件和mapred.keytab文件獲取證書，并部署hdfs.keytab文件和mapred.keytab文件，以使hdfs和mapred用戶可以訪問。

本發明所提供的hadoop的身份認證機制構建方法為hadoop集群提供了基于kerberos協議的可靠、高效且操作簡單的身份認證機制，確保惡意用戶無法偽裝成真正的用戶或者服務器入侵hadoop集群，提交mapreduce作業，更改JobTracker狀態，修改HDFS上的數據等惡意操作，極大地確保了hadoop集群的可靠安全性。

附圖說明

圖1所示為根據本發明較佳實施例提供的hadoop的身份認證機制構建方法的流程圖。

具體實施方式

下面結合附圖及具體實施例方式對本發明作進一步詳細描述。

以如下的現有環境為例進行說明：一個可用的系統包yum源(本地、網絡均可)；一個可用的三個節點的hadoop集群環境，且三個節點的主機名分別為：node01.test.com、node02.test.com、node03.test.com。

如圖1所示，具體步驟描述如下。

于步驟S1，安裝kerberos服務所需的安裝包，并修改相關配置文件，構建密鑰分配中心(KDC)服務器。具體而言，所有節點安裝krb5-workstation、krb5-workstation及其依賴包，KDC節點另外安裝krb5-server。

于步驟S2，創建新的principal數據庫為hadoop集群使用。其中，principal表示參加kerberos認證的基本實體(例如，客戶端或服務器端)。

于步驟S3，更改kerberos的相關配置，創建kerberos遠程管理的管理員。具體如下：更改配置文件/etc/krb5.conf；更改配置文件/var/kerberos/krb5kdc/kdc.conf；更改配置文件/var/kerberos/krb5kdc/kadm5.acl；并將/etc/krb5.conf拷貝到其他節點的相同目錄替換。