ldap认证缺点 CDH 安全管理工具介绍

安全管理工具介绍

本文档描述了如何使用各种安全管理工具来保护 CDP 环境。 重点介绍安全管理工具和 CDP 环境之间的集成点，但不探索这些工具的核心功能。

CDP将这些工具内部集成为一个全面、统一的安全架构，同时支持外部与其他主流第三方工具的集成。

1.1 身份认证

身份验证意味着我们能够验证用户的身份。 没有身份验证，所有其他安全措施都是无效的。 例如：由于无法验证用户身份，用户可以指定自己为系统管理员，我们只能信任他。

在我们的想象中，身份认证就是输入用户名和密码，但是大数据平台的分布式机制让认证过程没有那么简单。

CDP 集群由三种类型的节点组成：边缘节点、主节点和工作节点。 每种类型可能有多个节点。 作为其中一个节点（例如：边缘节点）的本地 Linux 管理员并不意味着它应该具有对 HDFS 分布式文件系统的管理员访问权限。

在边缘节点上，如果你是本地 Linux 管理员，那么你可以使用任何其他用户的安全权限（例如：HDFS 管理员用户 hdfs ）。 边缘节点不安装CDP核心服务，只安装CDP库（jar）和客户端配置文件（xml）。 因此，边缘节点很容易掉以轻心，普通用户往往拥有管理员权限。 这就是为什么 Linux 身份验证不能在大数据平台上提供完全信任。

许多外部第三方应用程序需要：

解决上述安全问题，满足条件的技术就是Kerberos。

1.1.1 克伯罗斯

我们不会在这里深入探讨 Kerberos 体系结构。 Kerberos 的主要组件是 KDC（Key Distribution Center）。 它负责将票证传递给身份验证模块。

在每个节点上运行的 CDP 组件需要与 Kerberos 集成，以便可以接受 Kerberos 票据。 接下来，客户端（用户或服务）需要使用 KDC（命令行 kinit）进行一次身份验证以获得票证，然后可以将票证传递给在任何节点上运行的任何服务，而无需再次进行身份验证。

通过这种方式，可以从 Linux 系统中删除身份验证，这意味着作为节点上的根用户并不意味着对集群的特权访问。 同时ldap认证缺点，用户进入集群后只需输入一次密码。

1.2 用户授权

授权是在身份认证成功后建立某种标识，是允许用户进行的操作。

授权的工具有很多：

Apache Ranger 是目前最强大且使用最广泛的授权组件。

1.2.1 阿帕奇游侠

Ranger 使用基于角色的访问控制 (RBAC) 策略和基于属性的访问控制 (ABAC) 策略。 也就是说，Ranger 通过角色或属性将组映射到数据访问权限。

例如：

1.2.2 阿帕奇图集

Apache Atlas 可以用来定义属性，也称为标签（Tags）。 标签非常灵活，可以标记表、列、行、主题、消费者组和几乎任何其他数据对象。

例如：

1.2.3 群组成员

这两种方法都有一个基本思想：通过组成员身份管理访问。

许多外部第三方应用程序需要：

满足以上条件的主流技术是LDAP目录服务。

1.2.4 Kerberos+LDAP目录服务

Cloudera 建议通过 Kerberos 进行身份验证ldap认证缺点，然后通过基于目录服务的用户组进行授权。

HDFS、YARN 和其他 CDP 组件使用“id -gr”Linux 命令，Apache Ranger 使用类似的 Linux 命令。

这些组件通过从 Kerberos 用户名中剥离 Kerberos 领域来提取操作系统用户。 例如，Kerberos 用户名是 fayson@cdp.com，fayson 将被提取为 OS 用户，组成员资格从中派生。

在 Linux 环境中，“id”命令可用于查询组成员资格。 那么如何将目录服务中的用户和用户组映射到Linux环境中呢？ 一般使用 SSSD 或 Centrify。 SSSD 或 Centrify 允许将用户/组从目录服务带到 Linux 操作系统级别，更重要的是，它允许 CDP 组件直接从 Linux 操作系统级别获取组成员资格，而无需再次访问目录服务。

注意：Active Directory 组织单位 (OU) 和 OU 用户——应在 Active Directory 中创建一个单独的 OU，并在该 OU 中创建一个有权创建其他帐户的帐户。 此帐户将分配给 Cloudera Manager，以便它可以自动为每个 CDP 服务创建帐户。

1.2.5 Microsoft Active Directory 和 Redhat IPA (IDM)

Kerberos 和 LDAP 目录服务是完全独立的产品，各自管理自己的用户。 所以一个CDP需要把两者整合起来，让它们共享同一个数据库。 有两种主流产品：Microsoft Active Directory 和 Redhat IDM (IPA)。

1.3 通过web界面进行认证授权

Cloudera集群的很多组件都有自己的web界面，比如Cloudera Manager、HUE、Atlas、CDSW等。

每个用户界面都可以通过用于身份验证和授权的 LDAP 协议与目录服务集成。 但这样做的缺点是用户每次使用都需要输入密码。

1.3.1 阿帕奇诺克斯

另一种选择是使用 Apache Knox 等身份验证网关。 Knox 可以与 Cloudera 集群中的所有 Web UI 集成。 出于授权目的，在用户组映射方面，UI和目录服务之间会有一些后台集成，极大地提高了用户体验。

建议首先使用单点登录 (SSO) 技术（例如 SAML）登录 Knox，其中 Okta 是一种流行的实现。 然后通过Know登录所有基础组件的Web UI。

Apache KNOX 通常用作集群的单一访问点。

诺克斯的优势：

诺克斯的缺点：

1.4 数据加密

1.4.1 网络加密

Cloudera 集群可以使用传输层安全性 (TLS) 进行加密：

1.4.2 静态数据加密

Cloudera 还可以使用透明数据加密 (TDE)，在将数据写入磁盘之前对其进行加密。

解决方法如下：

HDFS数据加密是核心内容。 因为HDFS上有大量的CSV文件或者其他纯文本文件，这些纯文本内容默认是不加密的，在Linux文件系统中是可读的。

1.5 审计和监控

安全管理的一个基本原则是“充分信任用户行为，但必须进行审计跟踪”。

1.5.1 阿帕奇游侠

即使是安全集群，仍然需要开启审计服务。 CDP 使用 Apache Ranger 提供审计报告，以更深入地控制生产环境。 Ranger插件从用户的日常操作中收集审计日志，并通过一个独立的线程聚合到Ranger Audit Server。 Ranger 在后台使用 Solr 来存储审计日志，并通过 Ranger Admin UI 提供自助搜索。 默认情况下，Solr 审计收集的保留期为 90 天。

Ranger 审计记录也写入 HDFS。 由于合规性要求，企业往往需要长期保存安全审计记录，因此存储在HDFS中的审计记录可以导出到任何SIEM系统或外部离线存储中。

Ranger 审计报告通常用于查看用户访问轨迹及其结束状态。 同时，它也可以用来调整Ranger现有的访问策略或者定义新的访问策略。

基于以上方法，我们可以对集群中发生的事件进行监控和审计，以便在发生重大安全事件时进行取证分析。