knoxを使ったHiveSever2セキュリティ

Question

CASE1：knoxを使ってハイブを保護したいのですが、ハイブldapとknoxの統合を行いました。 私はknoxとjdbcの両方を使ってexcelとodbcドライバを使ってハイブサーバー2にアクセスすることができます しかし、私がbeeline/ODBCでデフォルトのログインをテストしているとき、私は理想的にはjdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice

CASE2への接続

起こるべきではありません。私はハイブ-server2の上でLDAP認証を有効にしている、真っすぐにする、デフォルトのログインが無効 のみLDAPがポート10001を使用して許可されています。しかし、私がknoxを通してそれをテストしている時を知っている、私は得ている 無効な資格情報エラー。

ケース1ではデフォルトのログインを無効にするにはどうすればいいですか？ ケース2を使用する必要がある場合、どうすればこの問題を解決できますか？

Answer 1

あなたの説明は、Hadoopのデプロイメントがネットワークセキュリティ、ファイアウォールなどのバックエンドサービスへの直接アクセスをブロックしておらず、クラスタをKerberosで保護していないということです。

これは実際にはKnoxの問題ではなく、クラスタの展開の問題です。クラスタをファイアウォールさせずにKerberos攻撃をしないと、ユーザーはサービス自体に直接アクセスし、ゲートウェイ内の認証メカニズムをバイパスすることができます。

理想的には、ユーザーがkerberos/SPNEGOを介して認証するように要求するクラスタ（HiveServer2を含む）を保護することが理想的です。そうすればKnoxは信頼できるプロキシとしてセットアップされ、特定のグループのグループのエンドユーザの代わりに行動することができます。 KnoxはHS2自体として認証され、Hiveジョブが/ forとして実行されるようにエンドユーザーの身元を主張します。

希望します。