本發明公開了一種基于Hadoop的多租戶網盤鑒權方法及系統。所述方法包括：客戶端中鑒權模塊接收用于用戶檢驗的登錄配置數據；所述鑒權模塊在接收后，將所述登錄配置數據發送給kerberos中心的Keytab文件管理模塊；所述Keytab文件管理模塊將所述登錄配置數據發送給統一用戶鑒權系統；所述統一用戶鑒權系統將校驗結果響應給所述Keytab文件管理模塊。本發明中方法及系統當用戶在客戶機執行Hadoop相關程序時，通過客戶端鑒權模塊，在僅一次性輸入用戶名和密碼，即可完成用戶在兩個系統的鑒權過程，保證了鑒權過程的唯一性和可靠性。

技術領域

本發明涉及網絡認證領域，特別是涉及一種基于Hadoop的多租戶網盤鑒權方法及系統。

背景技術

Hadoop(Apache基金會所開發的分布式系統基礎架構)提供了兩種安全機制：Simple和Kerberos。如果希望實現存儲在hadoop之上的安全性，可以使用hadoop支持的kerberos(網絡認證協議)安全機制。Kerberos是一個基于共享密鑰對稱加密的安全網絡認證系統，它避免了將密碼(包括密碼hash)在網上傳輸，而是將密碼作為對稱加密的密鑰，通過能不能解密來驗證用戶的身份；

負責管理發放Ticket(記錄)和記錄授權的中心服務器被稱為KDC(KeyDistribution Center)，它知道所有用戶和服務的密碼。在Kerberos域(realm)中每添加一個服務或者用戶就要添加一條principal(安全個體)，每個principal都有一個密碼。用戶principal的密碼用戶自己記住，服務的principal密碼服務自己記錄在硬盤上(keytab文件中)；

用戶principal的命名類似elis/admin@EXAMPLE.COM，形式是用戶名/角色/realm域。服務principal的命名類似ftp/station@EXAMPLE.COM，形式是服務名/地址(提供者)/realm域。

對于基于Hadoop并且通過Kerberos來保證集群安全的多租戶網盤系統來說，每個用戶在客戶機上使用網盤讀寫功能之前，均需要先進行kerberos權限校驗，但是，無論是輸入用戶名密碼還是keytab文件，都無法與現有網盤系統進行集成。

發明內容

為了克服上述現有技術的缺陷，本發明要解決的技術問題是提供一種基于Hadoop的多租戶網盤鑒權方法及系統。

為解決上述技術問題，本發明中的一種基于Hadoop的多租戶網盤鑒權方法，包括：

客戶端中鑒權模塊接收用于用戶檢驗的登錄配置數據；

所述鑒權模塊在接收后，將所述登錄配置數據發送給kerberos中心的Keytab文件管理模塊；

所述Keytab文件管理模塊將所述登錄配置數據發送給統一用戶鑒權系統；

所述統一用戶鑒權系統將校驗結果響應給所述Keytab文件管理模塊。

可選地，所述客戶端中鑒權模塊接收用于用戶檢驗的登錄配置數據，包括：

所述客戶端在檢測到網盤程序啟動時，調用鑒權模塊接收用于用戶檢驗的登錄配置數據。

可選地，所述統一用戶鑒權系統將校驗結果響應給所述Keytab文件管理模塊之后，還包括：

所述Keytab文件管理模塊根據所述校驗結果，向所述鑒權模塊反饋對應的Keytab文件。

具體地，所述Keytab文件管理模塊根據所述校驗結果，向所述鑒權模塊反饋對應的Keytab文件之后，還包括：

所述鑒權模塊根據所述Keytab文件，完成鑒權，得到Token字符串；