- 1用git下载gitee上的项目资源_git怎么下载gitee
- 2https,udp,socket区别_sslsocket和socket区别
- 3「归并排序:题目一」如何实现一个空间复杂度为 O(1) 的归并排序?
- 4spring cloud eureka快速入门_eureka 入门
- 5C++:缺省参数|函数重载|引用|const引用
- 6AI智能助手商业系统软件源码(IMYAI智能助手) AI换脸/智能体GPTs应用/AI视频生成/AI绘画/文档分析/GPT-4o模型支持
- 7C语言中typedf函数的用法,C语言中typedef用法详解
- 8探秘Undetected ChromeDriver:自动化测试的新利器
- 9生成式 AI 的发展方向,应当是 Chat 还是 Agent?_生成式ai的发展方向,应当是chat还是agent
- 10git clone 时候出现Please make sure you have the correct access rights and the repository exists._git clone please make sure you have the correct ac
HBase ThriftServer Kerberos认证
赞
踩
1.前置
用户可以通过ThriftServer来访问HBase服务,它的特点如下:
- ThriftServer代理用户访问HBase服务返回操作结果,用户客户端不需要直接跟HBase进行通信
- 用户可以使用java/python/php/c++等语言的Thrift客户端代码访问HBase服务(HBase本身客户端只支持java语言)
2. Kerberos下的ThriftServer使用
如果HBase集群开启了Kerberos认证(E-MapReduce可一键创建安全集群,非常方便),那么用户怎么通过ThriftServer访问HBase服务呢?
2.1 ThriftServer配置Kerberos
ThriftServer其实是HBase服务的客户端,既然HBase开启了Kerberos认证,那么ThrifServer也必须配置Kerberos的信息才能正常访问HBase集群服务。
在ThriftServer的hbase-site.xml文件中添加新配置:
- <property>
- <name>hbase.security.authentication</name>
- <value>kerberos</value>
- </property>
- <property>
- <name>hbase.thrift.kerberos.principal</name>
- <value>hbase/_HOST@EMR.123456.COM</value>
- </property>
- <property>
- <name>hbase.thrift.keytab.file</name>
- <value>/etc/ecm/hbase-conf/hbase-thrift.keytab</value>
- </property>
上述配置中实际值以用户为准(principle和keytab需对应)。
2.2 ThriftClient访问ThriftServer
用户使用python/java/php等Thrift客户端访问ThrifServer有两种方式:
2.2.1 ThriftServer不对Client进行身份认证
任何用户都可以通过ThriftServer访问HBase服务,而且都是以ThriftServer本身配置的hbase.thrift.kerberos.principal中的用户名去访问HBase服务,即对HBase服务来说只有一个固定的用户来访问。
如下图所示:
这种方式使得HBase集群的Kerberos认证无效,不适合使用开启了Kerberos的场景。
2.2.2 ThriftServer对Client进行身份认证
ThriftServer可以开启对Client进行身份认证,而且以实际的用户身份访问HBase服务。
需要做如下配置:
- ThriftServer的hbase-site.xml中增加新的配置:
- <property>
- <name>hbase.thrift.security.qop</name>
- <value>auth</value>
- </property>
其中hbase.thrift.security.qop可以是auth/auth-init/auth-conf中的一个
- HBase集群的所有节点core-site.xml中增加新的配置:
- <property>
- <name>hadoop.proxyuser.$user.hosts</name>
- <value>*</value>
- </property>
- <property>
- <name>hadoop.proxyuser.$user.groups</name>
- <value>*</value>
- </property>
备注:
a) $user为ThriftServer本身配置的hbase.thrift.kerberos.principal中的用户
b) 重启HBase集群(无需重启HDFS)
3. 代码示例
上述2.2.2节的场景代码
3.1 python
参考github上一个项目:
https://github.com/joshelser/hbase-thrift1-python-sasl
使用方式在README.md中:
- -> 在客户端运行的账号下kinit初始化好Kerberos的TGT
- -> ./setup.sh
- -> python get_row.py
备注: get_row.py需要根据实际集群的配置修改相关参数
3.2 java
HBase官方的example jar有示例代码:
https://github.com/apache/hbase/tree/master/hbase-examples
- -> 在客户端运行的账号下kinit初始化好Kerberos的TGT
- ->
- export HBASE_EXAMPLE_CLASSPATH=`hbase classpath`;
-
- java -cp /usr/lib/hbase-current/lib/hbase-examples-1.1.1.jar:$HBASE_EXAMPLE_CLASSPATH org.apache.hadoop.hbase.thrift.DemoClient $thrift_server_host $thrift_serve_port true
有兴趣或者有需求的用户可以关注一下E-MapReduce的安全相关的功能,有问题及时联系和反馈。
