解锁企业数据管理统一身份认证难题,EasyMR助力企业敏捷提效

本文涉及的产品
数据管理 DMS,安全协同 3个实例 3个月
推荐场景:
学生管理系统数据库
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
简介: 在数字经济时代,企业面临数据量爆炸式增长的挑战。据IDC预测,2025年全球数据总量将超175 ZB。大数据成为决策关键,但传统管理模式已难以应对。袋鼠云推出的EasyManager平台专注于大数据集群全生命周期管理,提供从集群创建到智能监控的一站式解决方案,帮助企业高效处理海量数据,降低运营成本,提升业务敏捷性。同时,结合Kerberos、OpenLDAP和SSSD,EasyManager实现了统一身份认证与管理,确保企业在数据洪流中保持竞争力与安全性。

在数字经济迅猛发展的当下,企业数据量正以令人惊叹的速度持续增长。据IDC研究显示,至2025年,全球数据总量预计将超175 ZB。数据的爆发式增长对企业而言,既是机遇,更是巨大挑战。

如今,大数据已然成为企业决策的关键依据,在金融、零售、医疗、互联网等行业更是如此,企业在这些行业中的竞争力取决于海量数据的实时分析与处理能力。但传统的数据管理和分析模式已无法适应如此庞大的数据规模,企业在数据存储、计算、处理以及运维等方面都面临着严峻的考验。

因此,企业迫切需要一个能够有效管理和处理大规模数据的平台,帮助其在应对数据洪流的同时,降低运营成本并提升业务敏捷性。

01 EasyManager的出现

EasyManager是袋鼠云自主研发的全栈式大数据运维管理平台,作为EasyMR的核心组成部分,专注于大数据集群的全生命周期管理。EasyManager旨在为企业提供一站式大数据集群运维解决方案,涵盖从集群创建、部署到深度巡检、智能监控等关键功能。凭借其强大的功能和灵活的扩展性,EasyManager为企业提供稳定、高效、安全的大数据集群管理服务。

image.png

02 技术背景

对于目前用户的大型企业网络环境中需要一个统一的登录入口,避免反复多重登录的困境。统一身份认证(Unified Authentication)是一个重要的需求。它能够帮助组织简化用户管理,提高安全性,并减少由于密码管理不当导致的安全风险。Kerberos 和 OpenLDAP 结合 SSSD(System Security Services Daemon)是实现这种统一认证的常用方案之一。

1、Kerberos
Kerberos 是一个网络认证协议,旨在通过使用密钥加密技术为客户端-服务器应用程序提供强大的认证服务。它允许两方在不安全的网络上互相证明自己的身份,而不需要在网络上传输明文密码。Kerberos 协议的核心组件包括:

Key Distribution Center (KDC): 包含了认证服务器(AS)和票据授予服务器(TGS)。KDC 负责发放票据给客户端以访问服务。
Principal: 用户或服务的唯一标识符。
Ticket: 由 KDC 发放的一种用于证明身份的数据结构,客户端可以使用票据来请求服务。

2、OpenLDAP
OpenLDAP 是一个开源的轻量级目录访问协议(LDAP)服务器实现。它提供了存储和检索关于组织内的资源信息的能力,如用户账户、设备等。通过 LDAP 协议,可以对这些信息进行查询和修改。在统一认证系统中,OpenLDAP 常用来存储用户的身份信息和其他相关信息。

3、SSSD
System Security Services Daemon (SSSD) 是一个守护进程,它提供了一种方式来连接到远程目录服务和认证机制,例如 LDAP 和 Kerberos。SSSD 可以缓存认证信息,从而在没有网络连接的情况下仍然允许用户登录。此外,它还支持多种后端认证和身份验证方法,使得配置和维护更加灵活。

4、使用背景
当一个企业需要管理大量用户的认证和授权时,Kerberos 与 OpenLDAP 结合 SSSD 的解决方案就显得非常有用。这种组合不仅可以提供强大的认证功能,还可以有效地管理用户信息和服务访问权限。具体来说,这种架构有以下几个优点:

  • 集中管理::所有的用户信息和服务信息都可以在一个中心位置进行管理,简化了管理流程。

  • 安全性::Kerberos 提供了强大的认证机制,能够有效防止密码泄露等问题。

  • 灵活性:通过 SSSD,可以轻松地将不同的认证和身份验证服务集成在一起,适应不同场景的需求。

  • 性能::缓存机制减少了对远程服务的依赖,提高了系统的响应速度和可用性。

03 基于EasyMR的认证绑定

1、通过em部署kerberos
我们在em的产品部署页面先部署kerberos,操作如下。

image.png

选择服务部署的节点,执行部署。

image.png

等待部署完成后,查看kerberos是否正常运行。

image.png

2、通过em部署ldap

同上,通过em部署ldap。

image.png

选择服务部署的节点,执行部署。

image.png

等待部署完成后,查看kerberos是否正常运行。

image.png

04 基于SSSD同步OpenLDAP账号

在ldap上创建用户,使用authconfig配置sssd账号同步。

authconfig是Linux系统上一个对各种认证资源进行统一配置的工具,我们将通过它完成一部分的SSSD配置,命令如下:

authconfig --enablesssd --enablesssdauth --enablemkhomedir --enablerfc2307bis --enableldap --enableldapauth --disableldaptls --disableforcelegacy --disablekrb5 --ldapserver ldap://node11 --ldapbasedn "dc=dtstack,dc=com" --updateall

执行完之后默认通过当前参数生成/etc/sssd/sssd.conf

配置完成并生效后,验证sssd同步ldap账号。

image.png

image.png

上面我们已经可以看到,在ldap的可视化页面可以看到新增用户。

image.png

能够查询到用户说明ldap已经连接成功了!

至此基于EasyMR完成ldap用户绑定Kerberos已经完成,欢迎对企业数据管理存在困扰或者需要统一身份认证管理的用户前来咨询 。

相关实践学习
MySQL基础-学生管理系统数据库设计
本场景介绍如何使用DMS工具连接RDS,并使用DMS图形化工具创建数据库表。
相关文章
身份认证安全管理企业派拉软件宣布获6000万B轮投资,东方富海领投
派拉软件打造了新一代的统一身份认证管理平台,利用数据定义、AI驱动、智能算法、场景分析,为企业和机构提供跨业务、跨用户的全生命周期身份数据价值创新服务。
246 0
ToB项目身份认证AD集成(二):快速搞定window server 2003部署AD域服务并支持ssl
本文详细介绍了如何搭建本地AD域控测试环境,包括安装AD域服务、测试LDAP接口及配置LDAPS的过程。通过运行自签名证书生成脚本和手动部署证书,实现安全的SSL连接,适用于ToB项目的身份认证集成。文中还提供了相关系列文章链接,便于读者深入了解AD和LDAP的基础知识。
105 0
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
208 0
阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍
在本文中,我们首先简单介绍文件系统的用户认证和访问权限控制的概念,然后介绍阿里云SMB协议文件存储服务支持基于AD域系统的用户身份认证及访问权限控制的设计实现。
4148 0
阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍
dex:来自CoreOS的开源身份认证服务解决方案
本文讲的是dex:来自CoreOS的开源身份认证服务解决方案,【编者的话】今天CoreOS发布了一个新的开源项目dex,一个基于OpenID Connect的身份服务组件。 CoreOS已经将它用于生产环境:自家的tectonic.com上。
2189 0
Github Enterprise版本SAML服务两个身份认证漏洞
本文讲的是Github Enterprise版本SAML服务两个身份认证漏洞,在Github Enterprise版本的SAML服务中发现完全身份验证绕过的两个漏洞。作者将这些漏洞通过hackone的漏洞悬赏报告给Github并且已经修复。
2047 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等