企业级大数据安全架构(七)服务安全

作者:楼高
在企业级大数据安全方案中,本节主要介绍服务安全问题,引入kerberos认证机制,目前直接对接kerberos使用较多,这里我们使用FreeIPA来集成kerberos

FreeIPA官网下载地址:https://www.freeipa.org/page/Downloads

Hadoop服务的安全问题由来已久,因此在设计之初并未考虑安全问题。这导致用户在提交任务的时候可以随意伪造身份,或是恶意程序伪装成服务进程对集群造成破坏。随着时间的推移,行业内的安全意识越来越高,Hadoop生态顺应潮流也逐渐补充完善了自己的安全模型。

我们的设计思路是引入Kerberos认证机制,通过集成Kerberos协议,就能够使用Kerberos用户代替服务器本地的Linux用户,从而让大数据平台中的Hadoop相关服务全部使用Kerberos用户通过它的认证中心进行认证,以大幅提高平台的安全性。

1.FreeIPA介绍

Kerberos协议只是一种协议标准的框架,而MIT Kerberos则是实现了该协议的认证服务,是Kerberos的物理载体。将它与Hadoop服务进行集成便能够很好地解决安全性不足的问题。除了需要安装MIT Kerberos之外,我们还需要安装LDAP。在生产环境中Knox使用附带的LDAP服务显然是不合适的,因此需要一种更为正式的安装方式。

Kerberos和LDAP服务这类基础设施服务虽好,但是手动安装起来非常繁琐,接下来用一种全新的方法,通过使用FreeAPI来安装上述的基础设施组件。

FreeIPA是一个集成的安全信息管理解决方案。它整合了Kerberos、LDAP、NTP、Bind、Apache、Tomcat等核心软件包,从而形成了一个以LDAP为数据存储后端,Kerberos为验证前端,Bind为主机识别,同时还提供统一的命令行管理工具和WEB管理界面的集成信息管理系统。FreeIPA建立在著名的开源组件和标准协议之上,具有易于管理、安装和配置任务自动化的特点

2.安装说明

FreeIPA服务分为IPA-Server和IPA-Client两个部分,需要单独准备一台服务器安装IPA-Server,这台服务器不能属于任何由Ambari管理的集群节点,这是因为在安装IPA-Server的过程中,安装程序会将其所在的服务器地址注册到DNS服务中,而Ambari的集群节点也会进行相同的注册动作。如果一台服务器同时安装了IPA-Server并注册成为Ambari节点,就会造成名称的冲突,导致在注册DNS的过程中失败。IPA-Client和IPA-Server恰恰相反,Ambari管理的所有集群节点服务器上都必须安装。

3.安装IPA-Server

FreeIPA下载地址:https://www.freeipa.org/page/Downloads

操作系统里面已经集成了FreeIPA安装包,可通过yum安装

3.1扩充密钥长度

Kerberos需要使用256位的AES加密算法,而JRE中默认的密码长度比较短,并不足以支撑。所以我们需要升级集群中所有服务器JRE安全策略,使其能够接触密钥长度的限制。修改的方式是下载并替换JRE中的Unlimited JCEPolicy文件。下载Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File,解压下载后的zip包,将得到的jar包放到所有服务器上的$JAVA_HOME/jre/lib/security/目录下
下载地址如下:
https://www.oracle.com/java/technologies/javase-jce8-downloads.html
在这里插入图片描述

3.2修改服务器主机名

服务器的主机名需要与FreeIPA的完全限定域名(FQDN)匹配才能正常工作

#命令行执行以下命令
hostnamectl set-hostname jz004.hdp.hadoop#配置/etc/hosts,添加以下配置
172.26.232.150 ipa.hdp.hadoop

3.3配置随机数生成器

yum -y install rng-tools#启动服务
systemctl start rngd
#配置开机自启
systemctl enable rngd
#查看状态
systemctl status rngd
#升级the NSS libraries.
yum install -y yum update nss* -y

3.4安装ipa-server软件包

密钥扩充完毕之后就可以开始安装IPA-Server了,IPA-Server的整个安装过程中分为三个部分,分别是安装IPA系统工具、安装IPA-Server和配置IPA-Server
运行yum install命令安装IPA系统工具

yum install -y ntp ipa-server ipa-server-dns bind-dyndb-ldap

3.5配置ipa-server

IPA系统工具安装完之后就能够执行ipa-server相关的shell命令了,通过执行ipa-server-install --allow-zone-overlap命令安装IPA服务
除了身份验证,FreeIPA还能够管理主机的DNS记录。这可以使配置和管理主机更容易。
在这里插入图片描述
接下来,需要输入服务器的主机名、域名和Kerberos域名。Kerberos是一种身份验证协议,FreeIPA利用这些协议来验证主机的身份。强烈建议使用域名作为Kerberos域。使用不同的命名方案将导致FreeIPA的Active Directory集成出现问题,并可能导致其他问题。

警告:不要将根域(example.com)用作IPA域名。这可能会导致DNS问题
在这里插入图片描述

Server host name [ipa.example.org]: ipa.example.org
Please confirm the domain name [example.org]: ipa.example.org
Please provide a realm name [EXAMPLE.ORG]: IPA.EXAMPLE.ORG
The log file for this installation can be found in/var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
This includes:*Configure a stand-alone CA (dogtag) for certificate management*Configure the Network Time Daemon (ntpd)* Createand configure an instance of Directory Server* Createand configure a Kerberos Key Distribution Center (KDC)*Configure Apache (httpd)*Configure the KDC to enable PKINIT
To accept the default shown in brackets, press theEnter key.
WARNING: conflicting time&date synchronizationservice 'chronyd' will be disabled
in favor of ntpd
Do you want to configureintegrated DNS (BIND)? [no]: yes
Enter the fully qualified domain name of thecomputer
on which you’re setting up server software. Usingthe form
<hostname>.<domainname>
Example: master.example.com.
Server host name[wang-1.tmp.gce.cloudera.com]:回车
Warning: skipping DNS resolution of hostwang-1.tmp.gce.cloudera.com
The domain name has been determined based on thehost name.
Please confirm the domainname [tmp.gce.cloudera.com]:回车
The kerberos protocol requires a Realm name to bedefined.
This is typically the domain name converted touppercase.
Please provide a realm name[TMP.GCE.CLOUDERA.COM]:自己定义一个域名,否则默认使用括号中的域名
Certain directory server operations require anadministrative user.
This user is referred to as the Directory Managerand has full access
to the Directory for system management tasks andwill be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password:自己配置密码
Password (confirm):再输一遍
The IPA server requires an administrative user,named 'admin'.
This user is a regular system account used for IPAserver administration.
IPA admin password:自己配置密码
Password (confirm):再输一遍
Checking DNS domain tmp.gce.cloudera.com., pleasewait ...
Do you want to configure DNSforwarders? [yes]:yes
Following DNS servers are configured in/etc/resolv.conf: 127.0.0.1, 8.8.8.8
Do you want to configurethese servers as DNS forwarders? [yes]:yes
All DNS servers from /etc/resolv.conf were added.You can enter additional addresses now:
Enter an IP address for a DNSforwarder, or press Enter to skip:
Checking DNS forwarders, please wait ...
Do you want to search formissing reverse zones? [yes]:yes
Do you want to create reversezone for IP 172.31.115.124 [yes]:yes
Please specify the reversezone name [115.31.172.in-addr.arpa.]:(直接回车)
Using reverse zone(s) 115.31.172.in-addr.arpa.
The IPA Master Server will be configured with:
Hostname:      wang-1.tmp.gce.cloudera.com
IP address(es): 172.31.115.124
Domain name:   tmp.gce.cloudera.com
Realm name:    TMP.GCE.CLOUDERA.COM
BIND DNS server will be configured to serve IPAdomain with:
Forwarders:      127.0.0.1, 8.8.8.8
Forward policy:  only
Reverse zone(s): 115.31.172.in-addr.arpa.
Continue to configure thesystem with these values? [no]: yes

接下来,为LDAP管理器创建密码。这是FreeIPA功能所必需的LDAP。然后是IPA管理员密码,将在以管理员用户身份登录FreeIPA时使用。强烈建议使用安全随机生成的密码,因为整个系统的安全性取决于它们。
确认配置。在此之后,安装程序将运行。

Continue to configure the system with these values?[no]: yes

3.6 问题记录

(1)如果安装过程报错:

ipa-server-install command failed, exception: RuntimeError: CA did not start in 300.0s

执行命令更新nss,update nss packages

yum update nss

3.7 WEB UI访问

配置完成后访问https://ipa.cdh.hadoop/
在这里插入图片描述
密码即为刚才在交互式安装设置的密码
在这里插入图片描述

3.8执行安装命令

执行命令 ipa-client-install,安装步骤和ipa-server类似

3.9安装完成后查看页面,新增节点已在页面显示

在这里插入图片描述

更多技术信息请查看云掣官网https://yunche.pro/?t=yrgw

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/657619.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LeetCode Hot100 回顾(二)

子串 560.和为K的子数组 使用前缀和预处理一下题目给的数组, 然后用二重循环遍历一遍就可以了。 239.滑动窗口最大值 看题面比较容易想到的是用优先级队列来解决, 但是STL中的priority_queue不支持随机删除, 如果要用优先级队列来解决这道题的话比较复杂。这道题的一种正确…

安全通道堵塞识别摄像机

当建筑物的安全通道发生堵塞时&#xff0c;可能会给人员疏散和救援带来重大隐患。为了及时识别和解决安全通道堵塞问题&#xff0c;专门设计了安全通道堵塞识别摄像机&#xff0c;它具有监测、识别和报警功能&#xff0c;可在第一时间发现通道堵塞情况。这种摄像机通常安装在通…

Vue Router

Vue Router 一、Vue Router 回顾 1、路由简介 路由是一个比较广义和抽象的概念&#xff0c;路由的本质就是对应关系。 在开发中&#xff0c;路由分为&#xff1a; ​ 后端路由​ 前端路由 后端路由 概念&#xff1a;根据不同的用户 URL 请求&#xff0c;返回不同的内容本…

Mysql+MybatisPlus+Vue实现基础增删改查CRUD

数据库 设计数据库 设计几个字段&#xff0c;主键id自动增长且不可为空 create table if not exists user (id bigint(20) primary key auto_increment comment 主键id,username varchar(255) not null comment 用户名,sex char(1) not null comment 性…

【乳腺肿瘤诊断分类及预测】基于Elman神经网络

课题名称&#xff1a;基于Elman神经网络的乳腺肿瘤诊断分类及预测 版本日期&#xff1a;2023-05-15 运行方式: 直接运行Elman0501.m 文件即可 代码获取方式&#xff1a;私信博主或QQ&#xff1a;491052175 模型描述&#xff1a; 威斯康辛大学医学院经过多年的收集和整理&a…

《Numpy 简易速速上手小册》第6章:Numpy 高级数组操作(2024 最新版)

文章目录 6.1 使用布尔索引和条件选取6.1.1 基础知识6.1.2 完整案例&#xff1a;筛选股市数据6.1.3 拓展案例 1&#xff1a;筛选健康数据6.1.4 拓展案例 2&#xff1a;筛选和替换 6.2 缺失数据和无效数据处理6.2.1 基础知识6.2.2 完整案例&#xff1a;气象数据处理6.2.3 拓展案…

突破瓶颈,提升开发效率:Spring框架进阶与最佳实践-IOC

IOC相关内容 1.1 bean基础配置1.1.1 bean基础配置(id与class)1.1.2 bean的name属性步骤1&#xff1a;配置别名步骤2:根据名称容器中获取bean对象步骤3:运行程序 1.1.3 bean作用范围scope配置1.1.3.1 验证IOC容器中对象是否为单例验证思路具体实现 1.1.3.2 配置bean为非单例1.1.…

k8s中调整Pod数量限制的方法

一、介绍 Kubernetes节点每个默认允许最多创建110个pod&#xff0c;有时可能由于主机配置扩容的问题&#xff0c;从而需要修改节点pod运行数量的限制。 即&#xff1a;需要调整Node节点的最大可运行Pod数量。 一般来说&#xff0c;只需要在kubelet启动命令中增加–max-pods参数…

以“美”为鉴,探寻香港比特币现货ETF的未来发展

出品&#xff5c;欧科云链研究院 作者&#xff5c;Hedy Bi 根据The Block于1月29日的报道&#xff0c;嘉实国际成为了首家向香港证监会提交比特币现货ETF申请的机构。早在去年12月22日&#xff0c;香港证监会发布了《有关证监会认可基金投资虚拟资产的通函》&#xff0c;明确…

华为云codeArts使用操作流程

一、开启服务 什么是华为云CodeArts&#xff1f; 本实验将在华为云CodeArts平台上搭建一个凤凰商城开发项目&#xff0c;并完成需求管理、代码仓库、代码检查、编译构建、发布、部署、流水线等软件开发操作。 1)新建项目 进入华为云“控制台”&#xff0c;鼠标移动到页面左侧菜…

使用“快速开始”将数据传输到新的 iPhone 或 iPad

使用“快速开始”将数据传输到新的 iPhone 或 iPad 使用 iPhone 或 iPad 自动设置你的新 iOS 设备。 使用“快速开始”的过程会同时占用两台设备&#xff0c;因此请务必选择在几分钟内都不需要使用当前设备的时候进行设置。 确保你当前的设备已连接到无线局域网&#xff0c;并…

【三维重建】运动恢复结构(SfM)

运动恢复结构是通过三维场景的多张图像&#xff0c;恢复出该场景的三维结构信息以及每张图片对应的摄像机参数。 欧式结构恢复(内参已知&#xff0c;外参未知) 欧式结构恢复问题&#xff1a; 已知&#xff1a;1、n个三维点在m张图像中的对应点的像素坐标 2、相机内参 求解&…

Qt之QLabel介绍

概述 QLabel是QT界面中的标签类&#xff0c;它从QFrame下继承&#xff0c;QLabel 类代表标签&#xff0c;它是一个用于显示文本或图像的窗口部件。我们主要介绍一下QLabel的一些简单的使用。 设置颜色背景色和字体的颜色大小 字体及颜色 设置文字使用的是setText函数。 QStri…

CSA发布 | 法律视角下的数据出境《2023年数据出境合规年鉴》

在全球数字产业以及大数据和云计算技术快速发展的背景下&#xff0c;数据流动对世界经济的影响日益显著。由此带来的数据红利和数据安全之间的冲突&#xff0c;将对未来数字经济的发展方向产生深刻影响。 2023 年可称为中国数据跨境监管的元年&#xff0c;这一年初出境评估的“…

算法:积木游戏学习数学

一、算法描述 小华和小微一起通过玩积木游戏学习数学。 他们有很多积木&#xff0c;每个积木块上都有一个数字&#xff0c;积木块上的数字可能相同。 小华随机拿一些积木挨着排成一排&#xff0c;请小微找到这排积木中数字相同且所处位置最远的2块积木块&#xff0c;计算他们的…

第六讲:函数扩展(static,extern)

今天讲讲两个关键字&#xff0c;在此之前&#xff0c;我们先介绍两个概念。 1.作用域&#xff1a;某变量可以使用的范围。 1.1局部变量的作用域&#xff1a;变量所在的局部范围。 1.2全局变量的作用域&#xff1a;整个工程 2.生命周期&#xff1a;变量从申请内存到被回收内…

高中数学:逻辑用语及量词

一、逻辑用语 充分条件与必要条件 充分必要条件的判断&#xff0c;本质就是判断两个集合之间是子集还是真子集的关系 要点&#xff1a;看清楚谁是条件P&#xff0c;谁是结论Q 二、逻辑量词 存在量词与全称量词 命题的真假 三、常见题型 1、已知充分必要性&#xff0c;求…

Vue+OpenLayers7入门到实战:OpenLayers7使用一张静态图片作为地图的基本底图,使用png图片作为地图底图示例

返回《Vue+OpenLayers7》专栏目录:Vue+OpenLayers7 前言 本章介绍如何使用OpenLayers7在地图上使用一张静态图片作为地图的基本底图。 本章主要用处在于如果我们项目没有vmts、vms、xyz等地图服务,只有一张静态图片,也可以作为地图基本图层使用。 二、依赖和使用 "o…

美国DDOS服务器:应对攻击的策略与技术

分布式拒绝服务(DDOS)攻击是一种常见的网络攻击手段&#xff0c;旨在通过大量无用的请求拥塞目标服务器&#xff0c;使其无法正常处理合法请求。美国作为全球互联网技术的领先者&#xff0c;其DDOS服务器在应对这类攻击时具有一系列先进的技术和策略。本文将详细介绍美国DDOS服…

Arrays.asList()方法调用add()或remove()抛出java.lang.UnsupportedOperationException问题

在使用Arrays.asList方法将以,分割的字符串转为list集合时&#xff0c;调用add和remove等方法时会抛出java.lang.UnsupportedOperationException。以下为原因和解决方法。 原因&#xff1a; Arrays.asList()方法返回了一个Arrays类的一个继承了AbstractList的ArrayList内部类…