Hadoop 身份验证、Java HTTP SPNEGO - 服务器端配置

Hadoop 身份验证、Java HTTP SPNEGO - 服务器端配置

服务器端配置设置

AuthenticationFilter 过滤器是 Hadoop Auth 的服务器端组件。

此过滤器必须在需要经过身份验证的请求的所有 Web 应用程序资源前面进行配置。例如

Hadoop Auth 和依赖的 JAR 文件必须位于 Web 应用程序类路径中(通常是 WEB-INF/lib 目录)。

Hadoop Auth 使用 SLF4J-API 进行日志记录。Auth Maven POM 依赖项定义了 SLF4J API 依赖项,但没有定义对具体日志记录实现的依赖项,必须将其显式添加到 Web 应用程序中。例如,如果 Web 应用程序使用 Log4j,则 SLF4J-LOG4J12 和 LOG4J jar 文件必须是 Web 应用程序类路径以及 Log4j 配置文件的一部分。

通用配置参数

config.prefix:如果指定,则所有其他配置参数名称都必须以该前缀开头。默认值是没有前缀。

[PREFIX.]type:身份验证类型关键字(simple 或

kerberos)或身份验证处理程序实现。

[PREFIX.]signature.secret.file:当 signer.secret.provider 设置为 file 时,这是包含用于对 HTTP cookie 进行签名的密钥的文件的位置。

[PREFIX.]token.validity:生成的身份验证令牌的有效期(以秒为单位)。默认值为 36000 秒。当 signer.secret.provider 设置为 random 或 zookeeper 时,这也用于换行间隔。

[PREFIX.]cookie.domain:用于存储身份验证令牌的 HTTP cookie 要使用的域。

[PREFIX.]cookie.path:用于存储身份验证令牌的 HTTP cookie 要使用的路径。

signer.secret.provider:指示要使用的 SignerSecretProvider 类的名称。可能的值有:file、random、zookeeper 或类名。如果未指定,将使用 file 实现;如果失败,将使用 random 实现。如果要使用“file”,需要指定 signature.secret.file 并指向机密文件。

Kerberos 配置

重要提示:必须配置并运行 KDC。

要将 Kerberos SPNEGO 用作身份验证机制,必须使用以下 init 参数配置身份验证过滤器

[PREFIX.]type:关键字 kerberos。

[PREFIX.]kerberos.principal:Web 应用程序 Kerberos 主体名称。Kerberos 主体名称必须以 HTTP/... 开头。例如:HTTP/localhost@LOCALHOST。没有默认值。

[PREFIX.]kerberos.keytab:包含 kerberos 主体的凭据的 keytab 文件的路径。例如:/Users/tucu/tucu.keytab。没有默认值。

示例:

...

kerberosFilter

org.apache.hadoop.security.authentication.server.AuthenticationFilter

type

kerberos

token.validity

30

cookie.domain

.foo.com

cookie.path

/

kerberos.principal

HTTP/localhost@LOCALHOST

kerberos.keytab

/tmp/auth.keytab

kerberosFilter

/kerberos/*

...

伪/简单配置

要将伪/简单用作身份验证机制(信任查询字符串参数“user.name”的值),必须使用以下 init 参数配置身份验证过滤器

[PREFIX.]type:关键字 simple。

[PREFIX.]simple.anonymous.allowed:这是一个布尔参数,表示是否允许匿名请求。默认值为 false。

示例:

...

simpleFilter

org.apache.hadoop.security.authentication.server.AuthenticationFilter

type

simple

token.validity

30

cookie.domain

.foo.com

cookie.path

/

simple.anonymous.allowed

false

simpleFilter

/simple/*

...

AltKerberos 配置

重要提示:必须配置并运行 KDC。

AltKerberos 身份验证机制是 Kerberos SPNEGO 身份验证机制的部分实现衍生,它允许使用“混合”形式的身份验证,其中非浏览器使用 Kerberos SPNEGO,而浏览器使用替代形式的身份验证(由用户实现)。要将 AltKerberos 用作身份验证机制(除了提供实现之外),还必须使用以下 init 参数配置身份验证过滤器,除了前面提到的 Kerberos SPNEGO 参数之外

[PREFIX.]type:要使用的 AltKerberosAuthenticationHandler 实现的完整类名。

[PREFIX.]alt-kerberos.non-browser.user-agents:应将哪些用户代理视为非浏览器的逗号分隔列表。

示例:

...

kerberosFilter

org.apache.hadoop.security.authentication.server.AuthenticationFilter

type

org.my.subclass.of.AltKerberosAuthenticationHandler

alt-kerberos.non-browser.user-agents

java,curl,wget,perl

token.validity

30

cookie.domain

.foo.com

cookie.path

/

kerberos.principal

HTTP/localhost@LOCALHOST

kerberos.keytab

/tmp/auth.keytab

kerberosFilter

/kerberos/*

...

LDAP 配置

重要提示:必须配置并运行 LDAP 服务器。当为与 LDAP 服务器的通信启用 TLS(通过 ldaps 方案或“启动 TLS”扩展)时,在本地信任库中配置 LDAP 服务器的公有证书。

LDAP 身份验证机制使用 HTTP 基本身份验证方案,根据已配置的 LDAP(或 Active Directory)服务器验证用户指定的凭证。身份验证筛选器必须使用以下 init 参数进行配置

[PREFIX.]type:关键字 ldap。

[PREFIX.]ldap.providerurl:LDAP 服务器的 URL。

[PREFIX.]ldap.basedn:要与 LDAP 服务器一起使用的基本可分辨名称 (DN)。此值将附加到提供的用户 ID,用于身份验证目的。在 Active Directory 服务器的情况下,此属性无用。

[PREFIX.]ldap.binddomain:要与 LDAP 服务器一起使用的 LDAP 绑定域值。此属性是可选的,并且仅在 Active Directory 服务器(例如 example.com)的情况下才有用。

[PREFIX.]ldap.enablestarttls:用于定义 LDAP 服务器是否支持“StartTLS”扩展的布尔值。

示例:

...

authFilter

org.apache.hadoop.security.authentication.server.AuthenticationFilter

type

ldap

ldap.providerurl

ldap://ldap-server-host:8920

ldap.basedn

ou=users,dc=example,dc=com

ldap.enablestarttls

true

authFilter

/ldap/*

...

多方案配置

重要提示:此配置同时支持多种身份验证机制(例如 kerberos、ldap 等)。有关配置相关详细信息,请参阅每个方案的文档。

多方案身份验证机制通过实施 HTTP 身份验证协商机制来支持多种身份验证机制(例如 kerberos、ldap 等)(请参阅 RFC-2616)。要启用每种类型的身份验证机制(例如 ldap),必须配置相应的身份验证处理程序。请参阅以下配置参数

[PREFIX.]type:关键字 multi-scheme。

[PREFIX.]multi-scheme-auth-handler.schemes:此处理程序支持的 HTTP 身份验证机制的逗号分隔列表。这是一个必需的参数,并且没有默认值(例如 multi-scheme-auth-handler.schemes=basic,negotiate)。

[PREFIX.]multi-scheme-auth-handler.schemes..handler:要用于指定身份验证方案的身份验证处理程序实现。它没有默认值(例如 multi-scheme-auth-handler.schemes.negotiate.handler=kerberos)。为配置的每个方案添加此处理程序配置。

除了这些参数外,请还指定已配置的每个处理程序的 init 参数。

示例:

...

authFilter

org.apache.hadoop.security.authentication.server.AuthenticationFilter

type

multi-scheme

multi-scheme-auth-handler.schemes

basic,negotiate

multi-scheme-auth-handler.basic.handler

ldap

multi-scheme-auth-handler.negotiate.handler

kerberos

ldap.providerurl

ldap://ldap-server-host:8920

ldap.basedn

ou=users,dc=example,dc=com

ldap.enablestarttls

true

token.validity

30

cookie.domain

.foo.com

cookie.path

/

kerberos.principal

HTTP/localhost@LOCALHOST

kerberos.keytab

/tmp/auth.keytab

authFilter

/multi-scheme/*

...

SignerSecretProvider 配置

SignerSecretProvider 用于为用于对 HTTP Cookie 进行签名的密钥提供更高级的行为。

以下是相关的配置属性

signer.secret.provider:表示要使用的 SignerSecretProvider 类的名称。可能的值为:“file”、“random”、“zookeeper”或类名。如果未指定,将使用“file”实现;如果失败,将使用“random”实现。如果要使用“file”,则需要指定signature.secret.file并指向机密文件。

[PREFIX.]signature.secret.file:当signer.secret.provider设置为file或未指定时,这是用于对 HTTP cookie 进行签名的机密的 value。

[PREFIX.]token.validity:生成的身份验证令牌的有效期(以秒为单位)。默认值为 36000 秒。当 signer.secret.provider 设置为 random 或 zookeeper 时,这也用于换行间隔。

以下配置属性特定于zookeeper实现

signer.secret.provider.zookeeper.connection.string:表示要连接的 ZooKeeper 连接字符串。默认值为localhost:2181

signer.secret.provider.zookeeper.path:表示用于存储和检索机密的 ZooKeeper 路径。所有需要协调其机密的服务器都应指向同一路径

signer.secret.provider.zookeeper.auth.type:表示要使用的身份验证类型。支持的值为none和sasl。默认值为none。

signer.secret.provider.zookeeper.kerberos.keytab:将其设置为 Kerberos 密钥表文件的路径。仅在使用 Kerberos 时才需要此项。

signer.secret.provider.zookeeper.kerberos.principal:将其设置为要使用的 Kerberos 主体。仅在使用 Kerberos 时才需要此项。

signer.secret.provider.zookeeper.disconnect.on.shutdown:表示在关闭提供程序时是否关闭 ZooKeeper 连接。默认值为true。仅当提供自定义 Curator 客户端并且在其他地方处理断开连接时,才将其设置为false。

如果需要,还可以在 ServletContext 中设置以下属性:* signer.secret.provider.zookeeper.curator.client:可以在这里传递 CuratorFramework 客户端对象。如果给出,则“zookeeper”实现将使用此 Curator 客户端,而不是创建自己的客户端,这在您已经拥有 Curator 客户端或想要更多地控制其配置时很有用。

示例:

...

signer.secret.provider

file

signature.secret.file

/myapp/secret_file

...

示例:

...

signer.secret.provider

random

token.validity

30

...

示例:

...

signer.secret.provider

zookeeper

token.validity

30

signer.secret.provider.zookeeper.connection.string

zoo1:2181,zoo2:2181,zoo3:2181

signer.secret.provider.zookeeper.path

/myapp/secrets

signer.secret.provider.zookeeper.kerberos.keytab

/tmp/auth.keytab

signer.secret.provider.zookeeper.kerberos.principal

HTTP/localhost@LOCALHOST

...

相关推荐