Hadoop 安全机制认证---Kerberos

Hadoop 安全机制认证---Kerberos

NameNode，,JobTracker上没有用户认证

DataNode上没有认证

JobTracker上没有认证

没有DataNode, TaskTracker的认证

解决服务器到服务器的认证

解决client到服务器的认证

对用户级别上的认证并没有实现

Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)， 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从而获得TGT。（此过程避免了Client直接向KDC发送密码，以求通过验证的不安全方式）
• Client利用之前获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别

可靠 Hadoop 本身并没有认证功能和创建用户组功能，使用依靠外围的认证系统

高效 Kerberos使用对称钥匙操作，比SSL的公共密钥快

操作简单 用户可以方便进行操作，不需要很复杂的指令。比如废除一个用户只需要从Kerbores的KDC数据库中删除即可。