第三方認(rèn)證文件管理
DataWorks的數(shù)據(jù)同步功能支持第三方身份認(rèn)證機(jī)制,您需要提前在DataWorks的認(rèn)證文件管理頁(yè)面上傳認(rèn)證文件,并在配置數(shù)據(jù)源同時(shí)開(kāi)啟第三方認(rèn)證功能,使得只有可信的應(yīng)用和服務(wù)才能訪(fǎng)問(wèn)數(shù)據(jù)資源。本文為您介紹如何上傳和引用認(rèn)證文件。
背景信息
第三方認(rèn)證機(jī)制用于用戶(hù)和服務(wù)的強(qiáng)身份驗(yàn)證,通過(guò)該機(jī)制,可以有效地避免不受信任的程序或服務(wù)來(lái)獲取數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限,提高數(shù)據(jù)同步過(guò)程中訪(fǎng)問(wèn)數(shù)據(jù)資源的安全性。DataWorks的認(rèn)證文件管理功能,可以為您提供統(tǒng)一入口來(lái)管理認(rèn)證文件,您可以通過(guò)認(rèn)證文件管理頁(yè)面上傳和查看認(rèn)證文件引用關(guān)系等。
使用限制
目前僅支持Kerberos認(rèn)證機(jī)制(后續(xù)會(huì)逐步支持其他認(rèn)證機(jī)制,敬請(qǐng)期待),詳情請(qǐng)參見(jiàn)附錄:配置Kerberos認(rèn)證。
注意事項(xiàng)
一般情況下證書(shū)有自己的有效期,請(qǐng)留意您上傳的證書(shū)有效期,如果證書(shū)過(guò)期將會(huì)導(dǎo)致對(duì)應(yīng)的數(shù)據(jù)同步任務(wù)因無(wú)法獲得授權(quán)而失敗,請(qǐng)及時(shí)更換為最新有效期的證書(shū)。
上傳認(rèn)證文件
使用認(rèn)證功能前,需要提前準(zhǔn)備好認(rèn)證文件并上傳至認(rèn)證文件管理頁(yè)面。
進(jìn)入數(shù)據(jù)集成頁(yè)面。
登錄DataWorks控制臺(tái),單擊左側(cè)導(dǎo)航欄的數(shù)據(jù)集成,在下拉框中選擇對(duì)應(yīng)工作空間后單擊進(jìn)入數(shù)據(jù)集成。
在左側(cè)導(dǎo)航欄,單擊。
單擊認(rèn)證文件管理頁(yè)面右上方的上傳認(rèn)證文件。
在上傳認(rèn)證文件對(duì)話(huà)框,單擊上傳文件選擇對(duì)應(yīng)文件并填寫(xiě)相應(yīng)文件描述,單擊確定。
引用認(rèn)證文件
如果需要使用第三方身份認(rèn)證功能,請(qǐng)?jiān)谂渲脭?shù)據(jù)源頁(yè)面選擇開(kāi)啟特殊身份認(rèn)證方式,配置相關(guān)參數(shù)并引用相關(guān)認(rèn)證文件。目前DataWorks僅支持Kerberos認(rèn)證,具體介紹請(qǐng)參見(jiàn)附錄:配置Kerberos認(rèn)證。
以下以HDFS數(shù)據(jù)源配置Kerberos認(rèn)證為例,列舉Kerberos認(rèn)證的關(guān)鍵配置,關(guān)于數(shù)據(jù)源詳細(xì)配置,請(qǐng)參見(jiàn)配置數(shù)據(jù)源。
配置項(xiàng) | 說(shuō)明 |
特殊認(rèn)證方式 | 選擇特殊認(rèn)證方式為Kerberos認(rèn)證。 |
keytab文件 | 在下拉列表選擇已上傳的keytab文件。如果需要重新上傳認(rèn)證文件,請(qǐng)單擊新增認(rèn)證文件。 |
conf文件 | 在下拉列表選擇已上傳的conf文件。如果需要重新上傳認(rèn)證文件,請(qǐng)單擊新增認(rèn)證文件。 |
principal | Kerberos認(rèn)證的主體,包括主名稱(chēng)、實(shí)例和領(lǐng)域三部分,格式為:主名稱(chēng)/實(shí)例名@領(lǐng)域名。例如****/hadoopclient@**.*** 。 |
其他操作
您還可以在認(rèn)證文件管理頁(yè)面進(jìn)行認(rèn)證文件的批量刪除、重新上傳和查看引用等操作。
附錄:配置Kerberos認(rèn)證
DataWorks的數(shù)據(jù)同步功能目前僅支持Kerberos認(rèn)證,配置kerberos認(rèn)證后,可以?xún)H對(duì)受信任的應(yīng)用和服務(wù)提供認(rèn)證,使得只有經(jīng)過(guò)認(rèn)證的應(yīng)用和服務(wù)才能訪(fǎng)問(wèn)數(shù)據(jù)資源。
Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別(Authentication),其特點(diǎn)是用戶(hù)只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)(Ticket-Granting Ticket,網(wǎng)絡(luò)授權(quán)憑證)訪(fǎng)問(wèn)多個(gè)服務(wù),即SSO(Single Sign On,單點(diǎn)登錄)。使用Kerberos協(xié)議時(shí),會(huì)在每個(gè)Client和Service之間建立共享密鑰,服務(wù)之間使用密鑰進(jìn)行通信,避免不受信任的服務(wù)或應(yīng)用訪(fǎng)問(wèn)數(shù)據(jù)資源,因此該協(xié)議具有較高的安全性。
使用限制
Kerberos認(rèn)證功能僅支持CDH集群6.X版本,其他版本或者自建集群未經(jīng)過(guò)Kerberos認(rèn)證測(cè)試,可能會(huì)導(dǎo)致認(rèn)證失敗。
Kerberos認(rèn)證功能僅支持HBase、HDFS和Hive數(shù)據(jù)源(后續(xù)會(huì)逐步支持其他數(shù)據(jù)源類(lèi)型,敬請(qǐng)期待)。
Kerberos認(rèn)證功能僅支持在獨(dú)享數(shù)據(jù)集成資源組上使用。
Kerberos認(rèn)證原理
Kerberos是一種基于對(duì)稱(chēng)密鑰的第三方認(rèn)證協(xié)議,客戶(hù)端和服務(wù)器均是依賴(lài)KDC(Kerberos的服務(wù)端程序,即密鑰分發(fā)中心)來(lái)進(jìn)行身份認(rèn)證。有關(guān)Kerberos的詳細(xì)介紹請(qǐng)參見(jiàn)概述。
如上圖所示,在DataWorks上進(jìn)行Kerberos認(rèn)證分為如下四個(gè)階段:
客戶(hù)端請(qǐng)求TGT:當(dāng)客戶(hù)端用戶(hù)(Principal)訪(fǎng)問(wèn)已開(kāi)啟Kerberos認(rèn)證的數(shù)據(jù)源時(shí),會(huì)先向KDC請(qǐng)求頒發(fā)一個(gè)認(rèn)證憑證TGT,作為客戶(hù)端向KDC請(qǐng)求特定服務(wù)的身份證明。
KDC發(fā)放TGT:KDC收到請(qǐng)求后,先對(duì)客戶(hù)端進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后,KDC會(huì)以加密形式為客戶(hù)端發(fā)放一個(gè)有使用期限的認(rèn)證憑證TGT。
客戶(hù)端請(qǐng)求訪(fǎng)問(wèn)服務(wù)器:客戶(hù)端獲取TGT后,會(huì)根據(jù)需要訪(fǎng)問(wèn)的服務(wù)名稱(chēng)向服務(wù)器請(qǐng)求訪(fǎng)問(wèn)特定服務(wù)資源。
服務(wù)器認(rèn)證客戶(hù)端:服務(wù)器收到請(qǐng)求后,先對(duì)客戶(hù)端進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后,才會(huì)允許客戶(hù)端正常訪(fǎng)問(wèn)服務(wù)資源。
Kerberos認(rèn)證過(guò)程中需要使用keytab認(rèn)證文件和krb5.conf配置文件完成認(rèn)證行為,其中krb5.conf文件主要用于存儲(chǔ)KDC服務(wù)器的相關(guān)配置,keytab文件用于存儲(chǔ)資源主體的身份驗(yàn)證憑據(jù),包含principals和加密principal key。使用Kerberos認(rèn)證前,需要先將這兩個(gè)文件上傳到認(rèn)證文件管理頁(yè)面,并在數(shù)據(jù)源配置頁(yè)面完成認(rèn)證文件引用和配置,即可使用Kerberos認(rèn)證。上傳認(rèn)證文件請(qǐng)參見(jiàn)上傳認(rèn)證文件。
支持Kerberos認(rèn)證的數(shù)據(jù)源
Kerberos支持的數(shù)據(jù)源類(lèi)型及配置指引如下所示:
數(shù)據(jù)源類(lèi)型 | 配置指引 |
HBase | |
HDFS | |
Hive |