CDH安全技术方案.docx

大数据平台

安全技术方案

 年  月

目录

第 1 章 技术方案.............................................................................................. ........... ..2

1.1 总体方案......................................................................................................................................2

1.2 实施步骤......................................................................................................................................2

第 3 章 开启 KERBEROS 认证............................................................................ .....16

3.1 KDC 服务的安装与配置............................................................................................................16

3.2 集群所有节点安装 KERBEROS 客户端(包括 CM)........................................................................20

3.3 CDH 集群启用 KERBEROS.............................................................................................................21

第 4 章 安装及使用 SENTRY........................................................................... .........29

4.1 前提条件....................................................................................................................................29

4.1 安装 SENTRY.................................................................................................................................30

4.2 SENTRY 配置.................................................................................................................................33

4.3 SENTRY 测试.................................................................................................................................35

第 5 章 附件.................................................................................................... ........... ..58

群部署时事先放到可靠的节点上。集群运行时，集群内的节点使用密钥得到认

证。只有被认证过节点才能正常使用。企图冒充的节点由于没有事先得到的密

钥信息，无法与集群内部的节点通信。防止了恶意的使用或篡改  集群

的问题，确保了  集群的可靠安全。

 是  公司发布的一个  开源组件，截止

目前还是  的孵化项目，它提供了细粒度级、基于角色的授权以及多租

户的管理模式。 当前可以和  、和 !

"# 集 成 ， 未 来 会 扩 展 到 其 他 的  组 件 ， 例 如 $ 和

%。

参考：

 -集成 

第2章 TLS 配置

在群集上配置身份验证和授权时，.  会通过网

络将敏感信息发送到群集主机，例如 / 和包含密码的配置文

件。要确保此传输，必须在 .  和所有群集主机之间

配置 +, 加密。

+, 加密还用于使用 ++0 保护与 .  管理界面的客户

端连接。

.  还支持 +, 身份验证。如果没有证书身份验证，恶意

'**1 *#*#2*'/-*3)*4'

2.1 生成 TLS 证书

以下过程假定使用内部证书颁发机构（），并说明如何为该内部  建

立信任。如果您使用受信任的公共 （例如 #，5+，!

# 和其他），则无需为已颁发的证书明确建立信任，除非您使用的是较旧

的 6 和较新的公共 默认情况下，较旧的 6 可能不信任较新的公共 

在每个主机上&

、在每个群集主机上完成以下过程，包括 . 

主机。