hiveserver2 with kerberos authentication
2322 ワード
Kerberosプロトコル:
Kerberosプロトコルは主にコンピュータネットワークの認証(Authentication)に用いられ、ユーザが認証情報を1回入力するだけで、この検証によって得られたチケット(ticket-granting ticket)によって複数のサービス、すなわちSSO(Single Sign On)にアクセスできることを特徴とする.各ClientとServiceの間に共有鍵が確立されているため、プロトコルはかなりのセキュリティを有しています.
Kerberosプロトコルは2つの部分に分かれています.
1 . ClientはKDCに自分のアイデンティティ情報を送信し、KDCはTicket Granting ServiceからTGT(ticket-granting ticket)を取得し、プロトコル開始前のClientとKDC間の鍵でTGTを暗号化してClientに返信する.
このとき、KDCとの間の鍵を利用して暗号化されたTGTを復号し、TGTを得ることができるのは、本物のClientだけです.
(このプロセスでは、ClientがKDCに直接パスワードを送信することを回避し、検証による不安全な方法を求めます)
2.Clientは、以前に入手したTGTを利用して、他のサービスのTicketをKDCに要求し、他のサービスの識別を行う.
http://idior.cnblogs.com/archive/2006/03/20/354027.html
nodeでbeelineを使用して接続する場合は、kinit操作を行ってから実行する必要があります.
Javaアプリケーションを使用してjdbcで操作する場合は、まずktutilを使用してkeytab鍵ファイルを生成し、この鍵ファイルを使用してticketを要求してから、次の接続を行うことができます.
具体的にはネットワーク資料を参照することができます.http://www-304.ibm.com/support/knowledgecenter/SSPT3X_3.0.0/com.ibm.swg.im.infosphere.biginsights.admin.doc/doc/kerberos_hive.html
keytabの生成と使用:
https://kb.iu.edu/d/aumh
Kerberosプロトコルは主にコンピュータネットワークの認証(Authentication)に用いられ、ユーザが認証情報を1回入力するだけで、この検証によって得られたチケット(ticket-granting ticket)によって複数のサービス、すなわちSSO(Single Sign On)にアクセスできることを特徴とする.各ClientとServiceの間に共有鍵が確立されているため、プロトコルはかなりのセキュリティを有しています.
Kerberosプロトコルは2つの部分に分かれています.
1 . ClientはKDCに自分のアイデンティティ情報を送信し、KDCはTicket Granting ServiceからTGT(ticket-granting ticket)を取得し、プロトコル開始前のClientとKDC間の鍵でTGTを暗号化してClientに返信する.
このとき、KDCとの間の鍵を利用して暗号化されたTGTを復号し、TGTを得ることができるのは、本物のClientだけです.
(このプロセスでは、ClientがKDCに直接パスワードを送信することを回避し、検証による不安全な方法を求めます)
2.Clientは、以前に入手したTGTを利用して、他のサービスのTicketをKDCに要求し、他のサービスの識別を行う.
http://idior.cnblogs.com/archive/2006/03/20/354027.html
nodeでbeelineを使用して接続する場合は、kinit操作を行ってから実行する必要があります.
Javaアプリケーションを使用してjdbcで操作する場合は、まずktutilを使用してkeytab鍵ファイルを生成し、この鍵ファイルを使用してticketを要求してから、次の接続を行うことができます.
具体的にはネットワーク資料を参照することができます.http://www-304.ibm.com/support/knowledgecenter/SSPT3X_3.0.0/com.ibm.swg.im.infosphere.biginsights.admin.doc/doc/kerberos_hive.html
keytabの生成と使用:
https://kb.iu.edu/d/aumh
ktutil
ktutil: addent -password -p [email protected] -k 1 -e rc4-hmac
Password for [email protected]: [enter your password]
ktutil: addent -password -p [email protected] -k 1 -e aes256-cts
Password for [email protected]: [enter your password]
ktutil: wkt username.keytab
ktutil: quit