电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 在 PureData System for Hadoop 内实现安全性（1） [打印本页]

作者: look_w 时间: 2018-7-7 14:08 标题: 在 PureData System for Hadoop 内实现安全性（1）

确保您的数据和系统的安全，是任何企业最重要的优先事项。尽管存在许多安全产品，但一些产品缺乏保持数据不被损坏所需的集成安全性。在中，安全性被集成在设备中。本文将介绍该设备，解释如何使用它实现安全性。
处理用户和组要访问设备中的 InfoSphere® BigInsights™ 控制台，您必须经过身份验证。如图 1 所示，访问级别依赖于角色成员关系。用户和组被分配给 InfoSphere BigInsights 角色，该角色确定了用户和组能够访问哪些资源。要使用安全特性，必须将用户分配给以下 InfoSphere BigInsights 角色之一，即使用户使用了外部 LDAP。
表 1. InfoSphere BigInsights 角色和特权InfoSphere BigInsights 角色组名称特权BigInsightsSystemAdministratorbi_supergroup监视集群健康
添加、删除、启动和停止节点bi_sys_adminsBigInsightsDataAdministratorbi_data_admins创建目录，运行 Hadoop 文件系统命令
上传、删除、下载和查看文件BigInsightsApplicationAdministratorbi_app_admins发布、取消发布、部署和取消部署应用程序到集群
将应用程序权限分配给组BigInsightsUserbi_users运行用户有权运行的应用程序
查看应用程序运行结果、数据和集群健康状况身份验证方法InfoSphere BigInsights 控制台支持两种身份验证方法：

本地身份验证：使用设备命令行接口 user 命令来管理用户。此接口可通过以 ihadmin 用户身份登录到 SSH 连接来访问，该身份会提供访问管理性 shell 的权限。
外部轻量型目录访问协议 (LDAP)：使您能够配置 InfoSphere BigInsights 控制台与 LDAP 凭据存储区通信，了解用户、组和用户与组的映射。ldap 命令配置和管理设备对 LDAP 服务器的使用。

本地身份验证方法要使用本地身份验证来添加用户和组：

发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData System for Hadoop 的主机名。
1
ssh ihadmin@<host>
使用 user add <name> <password>[<role>...] 创建一个用户。备注：如果未指定角色，默认角色为 bi_users，像这些示例中一样：
- user add user1 password：使用密码 password 创建一个用户 user1。将它分配给 bi_users 组。
- user add user1 password bi_data_admins：使用密码 password 创建一个用户 user1。将它分配给 bi_data_admins 组。

要使用本地身份验证来删除用户和组：

发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData System for Hadoop 的主机名。
1
ssh ihadmin@<host>
使用下面这条命令删除用户：
1
user delete [-f]<name>

例如，user delete user1 删除用户 user1。

使用外部 LDAP 身份验证要配置外部 LDAP：

记下您的 LDAP 服务器的 IP 地址。
记下基础区分名 (DN)，该名称表明了您的用户和组信息位于目录中何处。
启用对 LDAP 目录的匿名搜索和身份验证。

要配置外部 LDAP：

发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData System for Hadoop 的主机名。
1
ssh ihadmin@<host>
要检查 LDAP 的状态（打开/关闭），可发出下面这条命令：
1
ldap status
要启用 LDAP，可发出下面这条命令：
1
ldap on <customer-ldap-ip-address> <customer-base-dn>
要关闭 LDAP 服务，可发出下面这条命令：
1
ldap off

用户和组的添加和删除必须在您的 LDAP 配置内完成。
将信息加载到凭据存储区中InfoSphere BigInsights 凭据存储区是分布式文件系统 (DFS) 上的一个文件夹，指定来存储敏感信息，比如密码和令牌。要将信息加载到凭据存储器中来存储，可在 $BIGINSIGHTS_HOME/bin 目录中运行 credstore.sh 实用程序。该实用程序支持加载、存储和更新选项。
要从已存在的私有凭据存储区中加载凭据，可发出下面这条命令：

1	credstore.sh load [-pub] dfs_file [-o output_file]

dfs_file：您的凭据文件的名称。这可以是您的 DFS 中一个文件的绝对路径，一个文件的相对路径，或者一个文件名。
output_file：本地文件系统上您想要将 <key> = <value> 对保存到的文件。

要将来自输入文件或现有的私有凭据存储器的凭据存储在 <key> = <value> 对中，可发出下面这条命令：

1	credstore.sh store[-pub] dfs_file ((-i input_file) \| <key> = <value>...<key> = <value>)

dfs_file：您的凭据文件的名称。
input_file：本地文件系统上包含您想要上传的 <key> = <value> 对的文件。

如果您愿意的话，可以直接从命令行输入 <key> = <value> 对。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)