knox를 사용하는 HiveSever2 보안

Question

사례 1 : knox를 사용하여 하이브를 보호하고 싶습니다. 하이브 LDAP과 녹스가 통합되었습니다. 나는 하이브 server2에 액세스 할 수 있습니다뿐만 아니라 jdbc뿐만 아니라 knox를 사용하여 odbc 드라이버를 사용하여 하지만 sametime beeline/ODBC에서 기본 로그인을 테스트 할 때 나는 아래의 모든 사용자 및 암호를 사용하여 그것을 이상 적으로 할 수있다 jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice

CASE2에 연결

일어나지한다 : 나는 하이브 - 서버 2에 LDAP 인증을 사용하도록 설정해야, 직선하기 위해 기본적 로그인 에만 LDAP가 포트 10001를 사용하여 허용 안 함입니다. 하지만 knox를 통해 테스트 할 때 알 수 있습니다. 잘못된 자격 증명 오류입니다.

어떻게하면 기본 로그인을 사용할 수 없게 할 수 있습니까? 또는 사례 2를 사용해야하는 경우 어떻게하면이 문제를 해결할 수 있습니다.

Answer 1

당신의 설명은 Hadoop 배치가 네트워크 보안, 방화벽 등을 통한 백엔드 서비스에 대한 직접 액세스를 차단하지 않으며 kerberos로 클러스터를 보호하지 않는다는 것입니다.

이것은 실제로 Knox 문제가 아니라 클러스터의 배포 문제입니다. 클러스터에서 방화벽을 제거하지 않고 kerberize하지 않으면 사용자는 직접 서비스 자체로 이동하여 게이트웨이의 인증 메커니즘을 우회 할 수 있습니다.

이상적으로 사용자가 kerberos/SPNEGO를 통해 인증해야하는 클러스터 (HiveServer2 포함)를 보호하는 것이 좋습니다. 그런 다음 Knox는 특정 그룹에 속한 최종 사용자를 대신하여 작동 할 수있는 신뢰할 수있는 프록시로 설정됩니다. Knox는 HS2에 대해 자체 인증을하고 하이브 작업이 /로 실행되도록 최종 사용자의 신원을 확인합니다.

희망이 도움이됩니다.