HiveSever2 security using knox

Question

CASE1: Я хочу, чтобы улей был с помощью knox. Так что я сделал интеграцию между hive ldap и knox. Я могу получить доступ к серверу hive2 с помощью excel и odbc-драйвера, используя knox, а также jdbc, а также Но в то время, когда я тестирую вход по умолчанию для beeline/ODBC, я могу сделать это, используя ниже, с любым пользователем и паролем, который идеально подходит не должно произойти

jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice Подключение к

Вопрос 2: Я включить аутентификацию LDAP на улья server2, теперь по умолчанию Войти в Билайн отключить только LDAP допускается с использованием порта 10001. Но знайте, когда я тестирую его через knox, я получаю Ошибка недопустимых учетных данных.

Как я могу отключить использование по умолчанию для входа в систему в случае 1. Или, если мне нужно использовать случай 2, как я могу решить эту проблему.

Answer 1

Что вы описали, так это то, что ваше развертывание Hadoop не блокирует прямой доступ к бэкэнд-сервисам с сетевой безопасностью, брандмауэрами и т. Д., И что вы не обеспечили безопасность кластера кероберами.

Это не проблема Нокса, а проблема развертывания с вашим кластером. Если вы не используете брандмауэр для своего кластера и не выполняете его, пользователи могут напрямую обращаться к самим службам и обойти механизм аутентификации в шлюзе.

В идеале вы должны защитить свой кластер (включая HiveServer2), который потребует от пользователей аутентификации через kerberos/SPNEGO. Затем Knox будет настроен как доверенный прокси, который позволит ему действовать от имени endusers в определенном наборе group/s. Нокс будет аутентифицироваться как сам по HS2 и утвердить личность конечного пользователя для работы Hive для работы как/для.

Надеюсь, что это поможет.