使用 knox 的 HiveSever2 安全性
HiveSever2 security using knox
CASE1:我想使用 knox 来保护 hive。所以我在 hive ldap 和 knox 之间进行了集成。
我可以使用 excel 访问配置单元 server2,也可以使用 knox 和 jdbc 访问 odbc 驱动程序
但是在同一时间,当我在 beeline/ODBC 上测试默认登录时,我可以使用下面的任何用户和密码来做到这一点,这在理想情况下是不应该发生的
正在连接到 jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice
CASE2:我在 hive-server2 上启用了 LDAP 身份验证,现在默认登录到直线是禁用的
只允许 LDAP 使用端口 10001。但是知道当我通过诺克斯测试它时,我得到
无效凭据错误。
如何禁用案例 1 中使用的默认登录。
或者如果我必须使用案例 2,我该如何解决这个问题。
您所描述的事实是,您的 Hadoop 部署不会阻止对具有网络安全、防火墙等的后端服务的直接访问,并且您没有使用 kerberos 保护集群。
这实际上不是 Knox 问题,而是您的集群的部署问题。如果您不对集群进行防火墙保护并且不对其进行 kerberize 化,那么用户可以自己直接访问服务并绕过网关中的身份验证机制。
理想情况下,您将保护您的集群(包括 HiveServer2),这将要求用户通过 kerberos/SPNEGO 进行身份验证。然后 Knox 将被设置为一个受信任的代理,这将允许它代表一组特定的 group/s 中的最终用户。 Knox 将以自身身份向 HS2 进行身份验证,并将 Hive 作业的最终用户身份断言为 运行 as/for.
希望对您有所帮助。
CASE1:我想使用 knox 来保护 hive。所以我在 hive ldap 和 knox 之间进行了集成。 我可以使用 excel 访问配置单元 server2,也可以使用 knox 和 jdbc 访问 odbc 驱动程序 但是在同一时间,当我在 beeline/ODBC 上测试默认登录时,我可以使用下面的任何用户和密码来做到这一点,这在理想情况下是不应该发生的
正在连接到 jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice
CASE2:我在 hive-server2 上启用了 LDAP 身份验证,现在默认登录到直线是禁用的 只允许 LDAP 使用端口 10001。但是知道当我通过诺克斯测试它时,我得到 无效凭据错误。
如何禁用案例 1 中使用的默认登录。 或者如果我必须使用案例 2,我该如何解决这个问题。
您所描述的事实是,您的 Hadoop 部署不会阻止对具有网络安全、防火墙等的后端服务的直接访问,并且您没有使用 kerberos 保护集群。
这实际上不是 Knox 问题,而是您的集群的部署问题。如果您不对集群进行防火墙保护并且不对其进行 kerberize 化,那么用户可以自己直接访问服务并绕过网关中的身份验证机制。
理想情况下,您将保护您的集群(包括 HiveServer2),这将要求用户通过 kerberos/SPNEGO 进行身份验证。然后 Knox 将被设置为一个受信任的代理,这将允许它代表一组特定的 group/s 中的最终用户。 Knox 将以自身身份向 HS2 进行身份验证,并将 Hive 作业的最终用户身份断言为 运行 as/for.
希望对您有所帮助。