《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理(2)

本文涉及的产品
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
运维安全中心(堡垒机),免费版 6个月
简介: 《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理(2)

《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理(1) https://developer.aliyun.com/article/1228324?groupCode=ClouderaCDP


4. 认证&边界


证是一个程,要求用户和服务在尝试访问资源时证

通过各种经过时间的技术管理证,包括入身份证模PAM)、、目服务(如组管理)的轻量级录访问协议(LDAP)以及用证的 Kerberos


Cloudera 群支持与所有这些技术的成。有现有 LDAP 服务(例如Active DirectoryMicrosoft Windows Server 中,Active Directory 服件的一分)的可以利用的现有户和组列表而不是在整个群中创建户。使用 Active Directory OpenLDAP 可以支持用户色授权制。


LDAP 代方可以使用证模PAM),外部身证的Linux 。在 Cloudera Manager 中,PAM LDAP 简单,系管理员可以通过新的 PAM 新的证方您有多个LDAP 服务可以使用安全服务SSSDPAM 以与 LDAP 同Cloudera Manager 不支持多个 LDAP 服务您还可以将 Cloudera Manager 置为使用 Apache Knox 进行证,并使用 PAM 来查存储在 LDAP中的户和


证,Cloudera 支持与 MIT Kerberos Active Directory 成。Microsoft Active Directory 管理和目录功能(LDAP)之支持 Kerberos 进证。


Kerberos 提供强证,强意程中,在求进程和服务之间的交使用加密机——不是码。


这些并不相互Microsoft Active Directory 是一LDAP 录服务,它提供 Kerberos 证服务,并且 Kerberos 据可以在 LDAP 录服务中存储和管理。Cloudera Manager ServerCDP 节点Cloudera Enterprise 件,例Apache HiveHue Impala,都可以使用 Kerberos 证。


1) 身份权限安全

CDP 平台使用认证技术要是 KerberosApache Knox LDAP。Apache Knox 可以成所有数据访问,利用现有目和协议,所有接SSO 进行一证,


2) 身份识别

CDP 平台提供的份识别有两:目选择和协议选择


目录选Active DirectoryAltus ,云目等等

协议LDAPSAML 或访问密钥


大多数客户选择与企业 Active Directory 成。利用现有的ID码和组成员访问 Cloudera 资源。部署环境如何,都使用相同即用户不需要新户,大多数甚至需了解正使用个云(或本地基础架构


3) 认证方式步骤


Web UIsLDAP SAML 项。

SQL AccessLDAP/AD Kerberos 项。

Commend Line有两认证方式:


Kerberos 认证

利用 Active DirectoryAD),Cloudera Manager 提供的自


示例

步骤一:AD 上认证户。

步骤二:认证的户获取 Kerberos 据。

步骤三:访问授权的服务,成访问。

image.png

4) 租户集群访问流程

image.png通过 LDAP 账户访问 Linux Linux 统通过 SSSD 服务LDAP账户提供户访问认证。

通过口机访问Hadoop平台,通过Hadoop认证,Kerberos Principal密码或 Keytab

进入 Hadoop 平台可以访问 SentryRanger、HBaseHDFS ACL、YARN ACL 做进一的资源访问制。

5) Apache Knox 功能

Apache Knox 于与 REST API UI 交互应用网关Knox Gateway 为Cloudera Data Platform 群中的所有 REST HTTP 交互提供一访问

Knox 时,必须群上Kerberos。Knox 提供三户的服务:

image.png

代理服务

Apache Knox 项目的要目通过 HTTP 资源代理提供Apache Hadoop 的访问。

身份服务

REST API 访问的证以及用UI WebSSO LDAP/AD标题的PreAuthKerberosSAMLOAuth 都是可项。

客户端服务


客户可以通过 DSL ,也可以接将 Knox Shell 用作 SDK

KnoxShell 交互环境将 groovy shell 交互shell Knox Shell SDK 类结合在一,以便已部署Hadoop 群中的数据进行交互


Knox API 网关为一个反向代理,考虑到策略的可性,通过供应商和它代理服务。


策略包括/合、授权审计、分映射则。政策是通过链实的,供是在拓扑部署中为由Knox 管理的每Apache Hadoop 的。也在拓扑部署,并为 Knox网关提供于在面户的 URL 之间进行由和换。


个受 Knox Apache Hadoop 群都有REST API,由群特定应用上下文示。这使 Knox 网关可以保多个群,可以为 REST API 费者提供一个端点多个集群访问所有所需的服务。只需将拓扑部署Knox 拓扑理新的 Apache Hadoop置策略行提供程,并使应用上下文可供 API 使用使用


然不安全的 Apache Hadoop 群有Knox 网关很好地补充了kerberos 安全集群。结合 Kerberos Apache Hadoop 群的适当网络Knox Gateway 为企业提供了一个解决


与企业管理解决案完成。

护集部署的细口对最终)。

化客户需要与之交互的服务数


《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理(3) https://developer.aliyun.com/article/1228321?groupCode=ClouderaCDP



目录
相关文章
|
7月前
|
监控 安全 数据可视化
java基于微服务的智慧工地管理云平台SaaS源码 数据大屏端 APP移动端
围绕施工现场人、机、料、法、环、各个环节,“智慧工地”将传统建筑施工与大数据物联网无缝结合集成多个智慧应用子系统,施工数据云端整合分析,提供专业、先进、安全的智慧工地解决方案。
166 1
|
7月前
|
机器学习/深度学习 算法 数据可视化
基于Google Earth Engine云平台构建的多源遥感数据森林地上生物量AGB估算模型含生物量模型应用APP
基于Google Earth Engine云平台构建的多源遥感数据森林地上生物量AGB估算模型含生物量模型应用APP
244 0
|
1月前
|
人工智能 安全 Linux
|
7月前
|
监控 安全 Java
【Java】Spring Cloud 智慧工地信息云平台源码(PC端+APP端)项目平台、监管平台、大数据平台
【Java】Spring Cloud 智慧工地信息云平台源码(PC端+APP端)项目平台、监管平台、大数据平台
150 0
|
人工智能 安全 数据管理
智慧校园管理平台源码 SaaS云平台
电子班牌系统应用: 通知管理、图片管理、班级考勤、综合素质评价、视频管理、考场管理、请假管理、成绩管理、个人信息、进离校管理、家长通讯录、教师通讯录、教师课表、AI智能分析、课堂点名、课堂授课、家长会签到、活动报名、积分商城、倒计时、班级德育、体温检测、放学管理、学生评价。
154 0
|
SQL 安全 大数据
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (1)
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (1)
694 0
|
弹性计算 分布式计算 安全
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (2)
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (2)
314 0
|
大数据 定位技术
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (3)
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (3)
279 0
|
机器学习/深度学习 消息中间件 监控
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (4)
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (4)
291 0
|
SQL 分布式计算 安全
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (5)
《CDP企业数据云平台从入门到实践》——Cloudera CDP 产品介绍 (5)
378 0
下一篇
DataWorks