Kerberos与Spark安全集成：Stratio解决方案与实战演示

"KerberizingSpark.pdf是SPARK SUMMIT 2017上的一次演讲，主题围绕Kerberos在Spark中的应用，由Stratio Solution的Jorge López-Malla Matute和Abel Rincón Matarranz分享。这份资料涵盖了Kerberos的基本介绍、关键概念、工作流程、冒名操作，以及一个具体的使用案例，包括案例定义、流程和Crossdata在生产环境中的应用。此外，还详细介绍了Stratio Solution的解决方案，包括实施前的准备、驱动端和执行端的配置，以及最终结果。最后，演讲还包括了一个现场演示和问答环节。" Kerberos是一种广泛使用的网络认证协议，主要设计目的是提供安全的服务，尤其是在多用户环境中确保数据的安全传输。在Kerberos中，它通过密钥分发中心（KDC）进行身份验证，为用户提供一次性密码，确保了用户身份的合法性，防止中间人攻击。 1. **Kerberos介绍**：Kerberos基于密钥加密技术，它通过三个主要组件工作：客户端、服务器和KDC。KDC分为认证服务器（AS）和票证授予服务器（TGS）。用户首先向AS请求会话密钥和临时票据，然后使用该密钥和票据与TGS通信，获取访问服务的票据。 2. **关键概念**：主要包括Ticket Granting Ticket (TGT)、Service Ticket和Principal。TGT允许用户请求其他服务的票证，Service Ticket是用户访问特定服务所需的凭证，而Principal是系统中每个实体（如用户、服务等）的唯一标识。 3. **工作流程**：用户启动时，请求TGT，然后用TGT请求特定服务的票证，最后使用服务票证与目标服务进行通信。 4. **Impersonation（冒名操作）**：Kerberos允许授权用户代表其他用户（或服务）进行操作，这对于权限管理和任务自动化非常有用，但也需要谨慎管理以防止滥用。 5. **使用案例**：Crossdata是一个分布式数据访问引擎，可能在生产环境中用于加速数据查询。Kerberizing Crossdata意味着将Kerberos整合到其架构中，以实现安全的数据访问和操作。 6. **Stratio Solution**：Stratio的解决方案涉及在Spark上实施Kerberos，确保大数据处理的安全性。这包括在部署前的准备工作，如设置Kerberos环境；在驱动程序端配置Spark以支持Kerberos认证；在执行器端确保所有节点都能正确识别和验证；最后，展示这些配置如何导致一个安全且功能完整的Spark集群。 7. **Demo**：演示部分可能展示了如何实际操作Kerberized Spark集群，包括启动、运行查询和验证安全性。 8. **Q&A**：问答环节提供了参会者提问和专家解答的机会，可能涵盖了Kerberizing Spark过程中的常见问题和最佳实践。 通过Kerberizing Spark，企业可以增强大数据处理的安全性，确保只有经过验证的用户和服务能够访问和操作数据，这对于云环境中的大数据应用程序尤其重要。同时，Stratio Solution的实践经验为其他希望在自己的环境中实施Kerberos提供了有价值的参考。