案例1:我想使用knox来保护hive的安全,所以我做了hiveldap和knox之间的集成。我可以使用excel访问HiveServer2,使用knox和jdbc访问odbc驱动程序,但在同一时间,当我在beeline/odbc上测试默认登录时,我可以使用下面的任何用户和密码来完成,这在理想情况下是不应该发生的
正在连接到 jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice
案例2:我在hive-server2上启用了ldap身份验证,现在beeline的默认登录名是disable,只允许使用端口10001使用ldap。但是当我通过knox测试它时,我得到了无效的凭证错误。
如何在案例1中禁用默认登录。或者如果必须使用案例2,如何解决这个问题。
1条答案
按热度按时间gg58donl1#
您所描述的是这样一个事实:您的hadoop部署没有通过网络安全、防火墙等阻止对后端服务的直接访问,并且您没有通过kerberos保护集群。
这实际上不是knox问题,而是集群的部署问题。如果您没有从集群中设置防火墙,也没有对其进行kerberize,那么用户可以直接访问服务本身,绕过网关中的身份验证机制。
理想情况下,您应该保护您的集群(包括hiveserver2),这将要求用户通过kerberos/spnego进行身份验证。然后,knox将被设置为一个可信代理,它将允许它代表特定组中的最终用户。knox将以自身身份向hs2进行身份验证,并为要作为/为运行的配置单元作业Assert最终用户的身份。
希望对你有帮助。