1. дома
  2. Вопрос и ответ
  3. Поддерживает ли Greenplum аутентификацию Kerberos между ее узлами?

Поддерживает ли Greenplum аутентификацию Kerberos между ее узлами?

2013-03-01 2 views
0

Мне нужно «закрепить» наш кластер Greenplum. Одним из аспектов этого является то, что я должен укрепить интерфейс между главным мастером GP и его сегментами хостов. Мне не удалось определить, поддерживается ли это или нет.Поддерживает ли Greenplum аутентификацию Kerberos между ее узлами?

Я видел параметры в файле posgresql.conf (krb_server_keyfile и krb_srvname) и попытался их установить, но он не работает (Greenplum все еще работает, он просто не отображается, соединение керонизировано).

Я сделал это с hadoop, и это было довольно прямолинейно, но, опять же, не может понять, как это сделать в GP или если это возможно. Есть идеи?

Благодаря

источник

2013-03-01 Wanderer

+1

Зачем вам кластеризовать кластер GP? –

+0

Целью kerberos является обеспечение безопасности и блокировка доступа между серверами. GP пробегает несколько. Я надеюсь, что Kerberos можно использовать для предотвращения атаки «человек в середине». – Wanderer

ответ

0

Итак ... ответ, так близко, как я могу сказать, это:

Во-первых, для выяснения, есть два места, где я обязан «kerberize» GP. Первый в подключении ведущего/ведомого. Это оказалось достаточно простым, после того как я узнал, что это сообщение основано на ssh. Я просто переключил авторизацию без пароля rsa/dsa с Kerberos SSH. Я не уверен, что это действительно более или менее безопасно, но требование не имеет значения. Вторая блокирует доступ администратора/jdbc. Это должно быть легким, ведь GP основан на Postgres, у меня есть защита Postgres с Kerberos в прошлом. Unfortuntaly, GP основан на Postgres 8.2. Это было до того, как поддержка GSS для Kerberos была добавлена ​​в Postgres, и я не могу заставить это работать. Я не уверен, что это возможно. Возможно, GP скоро поднимется до 8.4 (как минимум), и я могу попробовать это.

источник

2013-03-20 10:51:28 Wanderer

0

См Greenplum HD Manager 1.2 Installation and User Guide инструкции о том, как развернуть Kerberos. Документ связан с Hadoop, но должен служить для общей установки Greenplum.

источник

2013-03-04 19:24:06

+0

Спасибо, Джон, однако, я не думаю, что это действительно то, что я ищу. Эти направления блокируют GPHD (Greenplum Hadoop). И когда последует, это приведет к безопасной, «завернутой» реализации Hadoop. Что эти направления, кажется, не включают в себя, - это способность защищать Гринплум. Я не очень хорошо знаю GP, так что, возможно, мне не хватает лодки, но у GP есть несколько узлов, которые все общаются друг с другом, не так ли? Это не зависит от Hadoop, не так ли? Это сообщение, которое нужно заблокировать. Когда мастер GP отправляет что-то одному из узлов сегмента, как это обеспечивается? – Wanderer

+0

Взаимодействие с Интернетом на Greenplum осуществляется через SSH и ограничения доступа между узлами в файле pg_hba.conf. Узлы базы данных не должны позволять обычным пользователям входить в идеальную ситуацию. –

+0

hhmmm Я буду играть с этим немного. Основываясь на документации заголовка, я думал, что файл (pg_hba.conf) управляет только клиентскими соединениями, а не междоменными соединениями. Вы проверите это и ответьте. Я ценю ваши мысли по этой теме. – Wanderer

Смежные вопросы

 Смежные вопросы