hive使用krb5认证

原创

mob64ca12d0371b 2023-11-19 13:50:16 ©著作权

文章标签 hive Hive xml 文章分类 Hive 大数据

©著作权归作者所有：来自51CTO博客作者mob64ca12d0371b的原创作品，请联系作者获取转载授权，否则将追究法律责任

Hive使用Krb5认证

Kerberos是一种网络认证协议，它提供了强大的身份验证和数据加密功能。在Hadoop生态系统中，Kerberos通常被用于对集群进行安全管理。Hive作为一个基于Hadoop的数据仓库，也可以使用Krb5认证来加强数据的安全性。

什么是Krb5认证

Krb5认证是基于Kerberos协议的一种身份验证方式。它通过使用相应的密钥进行加密和解密操作，确保通信双方的身份安全可靠。

配置Krb5认证

要在Hive中使用Krb5认证，首先需要在集群中配置Kerberos。以下是一个简单的配置示例：

安装Kerberos。根据操作系统的不同，安装Kerberos可能有所不同。
配置Kerberos的主要配置文件krb5.conf。在该文件中，您需要指定Kerberos服务器的主机名、默认的域名和Kerberos领域等信息。示例配置如下：

[libdefaults]
    default_realm = YOUR-REALM

[realms]
    YOUR-REALM = {
        kdc = kerberos-server.example.com
        admin_server = kerberos-server.example.com
    }

[domain_realm]
    .example.com = YOUR-REALM
    example.com = YOUR-REALM

创建Kerberos的数据库。您可以使用kdb5_util命令创建数据库，并使用kadmin.local命令创建Kerberos用户。示例命令如下：

kdb5_util create -s
kadmin.local -q "addprinc -pw your-password hive/your-hostname@YOUR-REALM"

配置Hadoop的相关配置文件。在Hadoop的core-site.xml、hdfs-site.xml和yarn-site.xml等配置文件中，您需要指定Kerberos的相关参数，如Kerberos的主要名和密钥等。示例配置如下：

<property>
    <name>hadoop.security.authentication</name>
    <value>kerberos</value>
</property>

<property>
    <name>hadoop.security.authorization</name>
    <value>true</value>
</property>

<property>
    <name>dfs.namenode.kerberos.principal</name>
    <value>hdfs/_HOST@YOUR-REALM</value>
</property>

<property>
    <name>yarn.resourcemanager.principal</name>
    <value>yarn/_HOST@YOUR-REALM</value>
</property>

在Hive中使用Krb5认证

完成Kerberos的配置后，可以在Hive中启用Krb5认证。以下是一个简单的示例：

启用Hive的Krb5认证。在Hive的hive-site.xml中，您需要添加Krb5认证相关的配置。

<property>
    <name>hive.server2.authentication</name>
    <value>KERBEROS</value>
</property>

<property>
    <name>hive.server2.authentication.kerberos.keytab</name>
    <value>/etc/security/keytabs/hive.service.keytab</value>
</property>

<property>
    <name>hive.server2.authentication.kerberos.principal</name>
    <value>hive/_HOST@YOUR-REALM</value>
</property>

<property>
    <name>hive.server2.authentication.kerberos.name.rules</name>
    <value>DEFAULT</value>
</property>

<property>
    <name>hive.server2.authentication.kerberos.service.name</name>
    <value>hive</value>
</property>

启动Hive服务。在启动Hive服务之前，您需要在Kerberos中为Hive服务创建一个服务主体，并生成一个密钥表hive.service.keytab。

kadmin.local -q "addprinc -randkey hive/your-hostname@YOUR-REALM"
kadmin.local -q "ktadd -k /etc/security/keytabs/hive.service.keytab hive/your-hostname"

使用Krb5认证登录Hive。

kinit -kt /etc/security/keytabs/hive.service.keytab hive/your-hostname@YOUR-REALM
beeline -u jdbc:hive2://your-hostname:10000/default;principal=hive/your-hostname@YOUR-REALM