大数据培训Module05Kerberos架构原理课件.pptx(纯ppt,可能不含音视频素材)
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《大数据培训Module05Kerberos架构原理课件.pptx(纯ppt,可能不含音视频素材)》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 培训 Module05Kerberos 架构 原理 课件
- 资源描述:
-
1、版权所有 2015 华为技术有限公司Kerberos架构原理前言版权所有 2015 华为技术有限公司第1页Kerberos是FusionInsight产品集成,用于提供集群内安全认 证的公共服务。Ldap是FusionInsight产品集成,用于提供集群内各组件用户存储功能。Kerberos和Ldap共同组成了FusionInsight产品安全认证模块,提供集群内、集群外的安全接入。目标版权所有 2015 华为技术有限公司第2页学完本课程后,您将能够:描述FusionInsight产品中Kerberos&Ldap特性掌握FusionInsight产品中Kerberos&Ldap维护手段目录版权
2、所有 2015 华为技术有限公司第3页1.Kerberos、Ldap概述概述Kerberos介绍Kerberos基本概念Ldap介绍Ldap文件结构2.Kerberos、Ldap原理3.Kerberos、Ldap特性4.Kerberos、Ldap维护Kerberos介绍版权所有 2015 华为技术有限公司第4页Kerberos这一名词来源于希腊神 话“三个头的 狗地狱之门守护者”,后来沿用作为安全认 证的概念,该系统设计上采用客户端/服务器结构 与DES(Data Encryption Standard 标准加密技 术)、AES(Advanced Encryption Standard 高 级
3、加密技术)等加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据 完整性等场合,是一种应用对称密钥体制进行密 钥管理的系统Kerberos基本概念版权所有 2015 华为技术有限公司第5页票据授权票(TGT Ticket-Granting Ticket):用于应用程序与 KDC(Key Distribution Center 密钥分发中心)服务器建立 安全会话的票据,票据授权票存在有效期,当票据授权票失效后,应用侧需要重新建立与KDC服务器的安全会话。会话 有效期为24小时,不可配置。服务票据(ST Service Tick
4、et):用于应用程序与服务端建立安全会 话的票据,服务票据存在有效期,当服务票据失效后,应用 侧需要重新建立与服务端的安全会话。默认有效期为5分钟,不可配置。Ldap介绍版权所有 2015 华为技术有限公司第6页Ldap(Lightweight Directory Access Protocol),轻量目录访问协 议,提供被称为目录服务的信息服务,特别是基于X.500(构成全 球分布式的名录服务系统的协议)的目录服务。Ldap运行在TCP/IP或其他面向连接的传输服务之上。Ldap同时是一个IETF标准跟踪协议,在“轻 量级目录访问协议(Ldap)技术规范路线图”RFC4510中被指定。Lda
5、p软件来源于OpenLDAP项目,该项目是一个由志愿者组成的团 队,官网网址:http:/www.openldap.org/Ldap文件结构版权所有 2015 华为技术有限公司第7页LDAP信息模型是基于条目来组织地(如图1.1),一个条目 是一个属性的集合,有一个全球唯一的识别名(DN,Domain Name)。DN用于标识条目。每个条目的属性有一 个类型和一个或多个值。该类型通常是可记忆的字符串,如“cn”就是标识通用名称,或者“电子 邮 件”就是电子邮件 地址。该类型值的语法依赖于属性类型。例如,一个 cn 属 性可以包含一个值Marix Wong。一个 mail 属性可以包含值“”Ld
6、ap文件结构版权所有 2015 华为技术有限公司第8页在Ldap文件结构中,目录条目都被排列在一个分层树形结构。一般来说,这种结构反映了地域和/或组织界限。代表国家 的条目出现在树的顶端。它们下面是代表省和国家组织的条 目。再下面可能是代表组织单位、人、打印机、文档或者其 他任何东西,这种层级关系如图1.1所示。Ldap文件结构(续)c=GB版权所有 2015 华为技术有限公司第9页c=USst=Californiao=Googleou=Salesou=Marketingcn=Marix Wong图1.1Ldap文件结构(续)树也可以根据互联网域名组主。这种命名方式目前在业界非 常普遍,因为它
7、允许使用DNS为目录服务定位。如图1.2所 示的Ldap目录树中使用基于域的命名。dc=netdc=Google版权所有 2015 华为技术有限公司第10页dc=comou=Peopleou=Serversuid=Marix Wong图1.2dc=DE目录版权所有 2015 华为技术有限公司第11页1.Kerberos、Ldap概述2.Kerberos、Ldap原理原理Kerberos认证应用场景Kerberos认证原理Ldap访问原理3.Kerberos、Ldap特性4.Kerberos、Ldap维护Kerberos认证应用场景Kerberos认证在FusionInsight中主要使用于应用
8、程序需要访问集群中 某一个组件资源场景,在安全模式集群中,FusionInsight集群中的任 意资源,如hdfs,hbase等服务,访问这些服务之前均需要通过 Kerberos认证,建立安全会话链接,如下逻辑结构图。版权所有 2015 华为技术有限公司第12页Kerberos认证原理认证服务器(AS)票据授权服务器(TGS)数据库(bd2,ldap)服务端客户端3.KRB_TGS_REQ4.KRB_TGS_REP版权所有 2015 华为技术有限公司第13页第14页版权所有 2015 华为技术有限公司Step 1、2、3、4:登录Manager WebUI的流程Step 5、6、7、8:登录组
9、件UI的流程 Step9:组件间访问安全认证Kerberos1对Ldap中数据的操作方式:访问 Ldap1(主备两个实例)和Ldap2(主备两个实 例),是采用负荷分担访问,数据的写操作只能 在Ldap2(主实例)上。数据的读操作可以在 Ldap1或者Ldap2上。Kerberos2对Ldap中数据的操作方式:只能访 问Ldap2(包含主备两个实例),数据的写操作 只能在Ldap2(主实例)1.登 录Manager W SKerberos1L D A P 13.认 证4.2获 取 用 户 组组 件 W e b A p p5.跳 转 到 组 件 W e b U I7.认 证8.获 取 用 户 组
展开阅读全文