[보안 하둡] 하둡의 Secure Mode 를 알아보자

Contents

• Introduction

 

 

Introduction 

오늘은 하둡 보안 모드에서 authentication 설정을 어떻게 하는지 알아보쟈

하둡이 보안 모드로 설정 되었을때 각각의 하둡 서비스와 사용자들은 Kerberos 에 의해서 인증되어야 한다.

 

보안 모드에서 Hadoop 서비스를 구성하기 전에 Kerberos 와 DNS 에 대한 지식이 필요하다.

- 뒤에서 또 알아보도록하자

 

하둡의 보안 기능은 

1. Authentication
2. Service Level Authorization
3. Authentication for Web Consoles
4. Dagta Confidentiallity

가 있다.

 

Authentication

 

End user Account

Service Level Authentication 이 설정되면 사용자는 하둡 서비스들과 연결 되기 전에 자신을 인증해야한다.

가장 간단한 방법은 사용자가 Kerberos kinit 명령을 사용하여 인증하는 것이다.

만약 kinit 인증이 불가능하다면 Kerberos keytab 파일을 이용한 프로그래밍 방식 인증을 사용할 수 있다.

 

User Accounts for Hadoop Daemons

HDFS 와 YARN 데몬은 서로 다른 unix 사용자에 의해 실행되도록 보장하자

MapReduce Job History Server 는 Mapred 와 같은 다른 사용자로 사용되게 하자

 

 

Kerberos principals for Hadoop Daemons

각 하둡 서비스 instance 는 Kerberos principal 과 keytab file 위치로 설정되어야 한다.

일반적인 Service principal 의 format 은

ServiceName/_HOST@EXAMPLE.COM 이런 식으로 되어있다.

 

하둡은 service principal 의 호스트 이름 구성요소를 (host name component) _HOST 와일드 카드로 지정할 수 있도록 하여

configuration files의 배치를 단순화 한다.

 

각 서비스 인스턴스는 _HOST 를 정규화된 호스트 이름으로 대체한다.

이걸로 인해 모든 노드에 동일한 설정 파일을 배포 할 수 있게 된다.

키탭은 다르지만,!