在 PureData System for Hadoop 内实现安全性（1）

look_w

确保您的数据和系统的安全，是任何企业最重要的优先事项。尽管存在许多安全产品，但一些产品缺乏保持数据不被损坏所需的集成安全性。在  中，安全性被集成在设备中。本文将介绍该设备，解释如何使用它实现安全性。
处理用户和组要访问设备中的 InfoSphere® BigInsights™ 控制台，您必须经过身份验证。如图 1                    所示，访问级别依赖于角色成员关系。用户和组被分配给 InfoSphere BigInsights                角色，该角色确定了用户和组能够访问哪些资源。要使用安全特性，必须将用户分配给以下 InfoSphere BigInsights 角色之一，即使用户使用了外部 LDAP。
表 1. InfoSphere BigInsights 角色和特权InfoSphere BigInsights 角色组名称特权BigInsightsSystemAdministratorbi_supergroup监视集群健康
添加、删除、启动和停止节点bi_sys_adminsBigInsightsDataAdministratorbi_data_admins创建目录，运行 Hadoop 文件系统命令
上传、删除、下载和查看文件BigInsightsApplicationAdministratorbi_app_admins发布、取消发布、部署和取消部署应用程序到集群
将应用程序权限分配给组BigInsightsUserbi_users运行用户有权运行的应用程序
查看应用程序运行结果、数据和集群健康状况身份验证方法InfoSphere BigInsights 控制台支持两种身份验证方法：

• 本地身份验证：使用设备命令行接口 user 命令来管理用户。此接口可通过以 ihadmin                    用户身份登录到 SSH 连接来访问，该身份会提供访问管理性 shell 的权限。
• 外部轻量型目录访问协议 (LDAP)：使您能够配置 InfoSphere BigInsights 控制台与 LDAP                        凭据存储区通信，了解用户、组和用户与组的映射。ldap 命令配置和管理设备对 LDAP 服务器的使用。

本地身份验证方法要使用本地身份验证来添加用户和组：

• 发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData                    System for Hadoop                        的主机名。

  1	ssh ihadmin@<host>

  
  
  
  
• 使用 user add <name> <password>[<role>...]                        创建一个用户。备注：如果未指定角色，默认角色为 bi_users，像这些示例中一样：
  • user add user1 password：使用密码 password 创建一个用户                                user1。将它分配给 bi_users 组。
  • user add user1 password bi_data_admins：使用密码                                password 创建一个用户 user1。将它分配给                                bi_data_admins 组。

要使用本地身份验证来删除用户和组：

• 发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData                    System for Hadoop                        的主机名。

  1	ssh ihadmin@<host>

  
  
  
  
• 使用下面这条命令删除用户：

  1	user delete [-f]<name>

  
  
  
  
  例如，user                        delete user1 删除用户 user1。

使用外部 LDAP 身份验证要配置外部 LDAP：

• 记下您的 LDAP 服务器的 IP 地址。
• 记下基础区分名 (DN)，该名称表明了您的用户和组信息位于目录中何处。
• 启用对 LDAP 目录的匿名搜索和身份验证。

要配置外部 LDAP：

• 发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData                    System for Hadoop                        的主机名。

  1	ssh ihadmin@<host>

  
  
  
  
• 要检查 LDAP                        的状态（打开/关闭），可发出下面这条命令：

  1	ldap status

  
  
  
  
• 要启用                        LDAP，可发出下面这条命令：

  1	ldap on <customer-ldap-ip-address> <customer-base-dn>

  
  
  
  
• 要关闭 LDAP 服务，可发出下面这条命令：

  1

  ldap off

  
  
  
  

用户和组的添加和删除必须在您的 LDAP 配置内完成。
将信息加载到凭据存储区中InfoSphere BigInsights 凭据存储区是分布式文件系统 (DFS)                上的一个文件夹，指定来存储敏感信息，比如密码和令牌。要将信息加载到凭据存储器中来存储，可在 $BIGINSIGHTS_HOME/bin 目录中运行                    credstore.sh 实用程序。该实用程序支持加载、存储和更新选项。
要从已存在的私有凭据存储区中加载凭据，可发出下面这条命令：

1	credstore.sh load [-pub] dfs_file [-o output_file]

• dfs_file：您的凭据文件的名称。这可以是您的 DFS                    中一个文件的绝对路径，一个文件的相对路径，或者一个文件名。
• output_file：本地文件系统上您想要将 <key> = <value> 对保存到的文件。

要将来自输入文件或现有的私有凭据存储器的凭据存储在 <key> = <value> 对中，可发出下面这条命令：

1	credstore.sh store[-pub] dfs_file ((-i input_file) | <key> = <value>...<key> = <value>)

• dfs_file：您的凭据文件的名称。
• input_file：本地文件系统上包含您想要上传的 <key> = <value> 对的文件。

如果您愿意的话，可以直接从命令行输入 <key> = <value> 对。