我有一个受 Kerberos 保护的集群,并且有一个 REST API 需要代表用户与集群进行交互。我已经将 Spring Security 与 SPNEGO 结合使用来对用户进行身份验证,但是当我尝试使用 Hadoop SDK 时,根据我的尝试,由于各种原因它失败了。
当我尝试在用户登录后直接使用 SDK 时,它给我 SIMPLE authentication is not enabled。
我注意到 session 的 Authenticator 是 UserNamePasswordAuthenticationToken,这没有意义,因为我正在使用用户的凭据对 Kerberos 领域进行身份验证。
我正在尝试使用我自己的服务帐户和 key 表开箱即用的项目:https://github.com/spring-projects/spring-security-kerberos/tree/master/spring-security-kerberos-samples/sec-server-spnego-form-auth
最佳答案
就其值(value)而言,您可以利用 Apache Knox (http://knox.apache.org) 在安全集群中使用 Hadoop REST API。 Knox 将为您处理 SPNEGO 与各种组件的协商。您可以使用基于 HTTP header 的预授权 SSO 提供商将最终用户的身份传播到 Knox。
详情:http://knox.apache.org/books/knox-0-8-0/user-guide.html#Preauthenticated+SSO+Provider
但是,如果您使用该提供商,则需要确保只有受信任的客户才能调用您的服务。
或者,您可以使用默认的 Shiro 提供商使用用户名/密码对 LDAP 向 Knox 进行身份验证。
以这种方式使用 Knox 的一大好处是,您的服务永远不需要了解集群是否已进行 kerberos 化的任何信息。诺克斯从你那里抽象出来。
关于hadoop - 将 SPNEGO 凭证转发到安全集群,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35849197/