动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

GooseFS 接入 Kerberos 认证

PDF

聚焦模式

字号

最后更新时间： 2024-01-06 11:17:59

概述
Kerberos 是大数据生态系统中广泛应用的统一认证服务，GooseFS 作为大数据和数据湖场景下的加速存储服务，支持集群节点和用户访问接入 Kerberos 认证服务中。本文将详细介绍如何配置 GooseFS 接入 Kerberos 认证服务以及如何使用 Hadoop Delegation Token 认证。
GooseFS 接入 Kerberos 的认证架构
﻿
GooseFS Kerberos 认证优势
与 HDFS 接入 Kerberos 的认证架构和流程基本一致，在 HDFS 上启用了 Kerberos 认证流程的应用可以很容易地迁移到 GooseFS。
支持 Hadoop 的 Delegation Token 认证机制，因此可以很好地兼容 Hadoop 生态的应用作业。
配置 GooseFS 接入 Kerberos 认证
前提条件
GooseFS 1.3.0 及以上版本。
确保环境中已存在 Kerberos KDC 服务，并且 GooseFS 以及应用客户端能够正常访问 Kerberos KDC 服务相关端口。
在 Kerberos KDC 中创建 GooseFS 相关的身份信息
首先，我们需要在 Kerberos KDC 中创建 GooseFS 集群 Server 与 Client 相关的 Kerberos 身份信息，然后才能继续后续的接入配置。这里我们在 Kerberos KDC 服务器上借助 kadmin.local 交互式工具来完成创建：
注意
kadmin.local 工具需要 root/sudo 权限执行。
$ sudo kadmin.local
如果执行成功，则进入了 kadmin 的交互式 shell 环境中：
Authenticating as principal root/admin@GOOSEFS.COM with password.
kadmin.local:  
其中，kadmin.local 表示该交互式执行环境的命令提示符。
创建 GooseFS Server / Client 相关的身份信息
如下通过一个简单测试集群以及应用场景样例来介绍整个 Kerberos 的配置过程。
1. 集群环境说明
采用单 Master 双 Worker 的 Standalone 部署架构：
Master（JobMaster）：172.16.0.1
Worker1（JobWorker1）：172.16.0.2
Worker2（JobWorker2）：172.16.0.3
Client：172.16.0.4
2. 在 kadmin.local 中创建 Server 和 Client 身份认证相关信息：
kadmin.local: addprinc -randkey goosefs/172.16.0.1@GOOSEFS.COM
kadmin.local: addprinc -randkey client/172.16.0.4@GOOSEFS.COM
注意
 此处使用 -randkey 选项的原因在于 GooseFS 无论 Server 还是 Client 登录均使用 keytab 文件认证，不使用明文密码。若身份信息需要用于 password 登录场景，则可以去掉该选项。
3. 生成导出每个身份对应的 keytab 文件：
kadmin.local: xst -k goosefs_172_16_0_1.keytab goosefs/172.16.0.1@GOOSEFS.COM
kadmin.local: xst -k client_172_16_0_4.keytab client/172.16.0.4@GOOSEFS.COM
配置 GooseFS Server/Client 接入使用 Kerberos 认证
1. 将上述导出 keytab 文件分发到对应的机器上，此处建议的路径是 ${GOOSEFS_HOME}/conf/：
$ scp goosefs_172_16_0_1.keytab <username>@172.16.0.1:${GOOSEFS_HOME}/conf/
$ scp goosefs_172_16_0_1.keytab <username>@172.16.0.2:${GOOSEFS_HOME}/conf/
$ scp goosefs_172_16_0_1.keytab <username>@172.16.0.3:${GOOSEFS_HOME}/conf/
$ scp client_172_16_0_4.keytab <username>@172.16.0.4:${HOME}/.goosefs/
2. 在对应机器上，将 Server Principal KeyTab 文件的所属用户/用户组修改为 GooseFS Server 启动时所使用的用户及用户组（其目的是为了让 GooseFS 启动时有足够的权限读取）。
$ chown <GooseFS_USER>:<GOOSEFS_USERGROUP> goosefs_172_16_0_1.keytab
$ # 同时修改 Unix 访问权限位
$ chmod 0440 goosefs_172_16_0_1.keytab
3. 将 Client 的 KeyTab 的所属用户/用户组修改为发起 GooseFS 请求的客户端账户。其目的同样是为了保证 Client 有足够的权限读取该文件。
$ chown <client_user>:<client_usergroup> client_172_16_0_4.keytab
$ # 同时修改 Unix 访问权限位
$ chmod 0440 client_172_16_0_4.keytab
Server 和 Client 端 GooseFS 配置
1. Master/Worker Server 的 goosefs-site.properties
﻿
# Security properties
# Kerberos properties
goosefs.security.authorization.permission.enabled=true
goosefs.security.authentication.type=KERBEROS
goosefs.security.kerberos.unified.instance.name=172.16.0.1
goosefs.security.kerberos.server.principal=goosefs/172.16.0.1@GOOSEFS.COM
goosefs.security.kerberos.server.keytab.file=${GOOSEFS_HOME}/conf/goosefs_172_16_0_1.keytab
﻿
配置完成 GooseFS Server 端的认证配置后，重启整个集群以使得配置生效。
2. Client 的 goosefs-site.properties
# Security properties
# Kerberos properties
goosefs.security.authorization.permission.enabled=true
goosefs.security.authentication.type=KERBEROS
goosefs.security.kerberos.unified.instance.name=172.16.0.1
goosefs.security.kerberos.server.principal=goosefs/172.16.0.1@GOOSEFS.COM
goosefs.security.kerberos.client.principal=client/172.16.0.4@GOOSEFS.COM
goosefs.security.kerberos.client.keytab.file=${GOOSEFS_HOME}/conf/client_172_16_0_4.keytab
﻿
注意
 Client 端需要指定 Server 的 principal。其原因为在 Kerberos 认证体系中，KDC 需要知道当前 Client 所访问的 Service，而 GooseFS 是通过 Server 的 principal 区分 Client 当前请求的 Service。
至此，GooseFS 接入 Kerberos 的基础认证完毕，后续客户端发起的请求都将经过 Kerberos 进行身份认证。

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

对象存储

GooseFS 接入 Kerberos 认证

概述

GooseFS 接入 Kerberos 的认证架构

GooseFS Kerberos 认证优势

配置 GooseFS 接入 Kerberos 认证

前提条件

在 Kerberos KDC 中创建 GooseFS 相关的身份信息

创建 GooseFS Server / Client 相关的身份信息

配置 GooseFS Server/Client 接入使用 Kerberos 认证

Server 和 Client 端 GooseFS 配置

帮助和支持