在 PureData System for Hadoop 内实现安全性（2）

look_w

使用 REST API 的会话令牌REST API 命令可用于管理您集群中的服务器，比如启动和停止服务，或者检查操作的状态。要使用 REST API 的会话令牌来授权 REST 调用：

• 发出下面这条命令，以用户 ihadmin 的身份连接到设备。<host> 指主要节点 IP 或 PureData                    System for Hadoop                        的主机名。

  1	ssh ihadmin@<host>

  
  
  
  
• 使用 curl 命令获取 REST API 的会话令牌。会话 cookie 存储在一个 JAR 文件中，可用于所有后续的                        curl HTTP 请求。InfoSphere BigInsights 通过                        j_security_check 操作执行基于表单的身份验证。用户 ID 和密码必须使用                        j_username 和 j_password 选项指定。可为包含存储的令牌 cookie                        的文件使用任何文件名。运行下面这条命令来创建会话令牌：

  1 2 3 4

  curl -i -c /cookie_jar -d 'j_username=user' -d 'j_password=password 'https://<host>:<port>/j_security_check' cookie_jar - cookie files local system location

  
  
  
  
  • user：您向 InfoSphere BigInsights 控制台执行身份验证所使用的用户 ID
  • password：您向 InfoSphere BigInsights 控制台执行身份验证所使用的用户的密码。

如果身份验证成功，Web 服务器会返回一个 302 重定向响应代码，位置字段会被设置为 Web 控制台的 URL。
图 1. 示例 302 重定向响应代码如果身份验证未被接受，Web 服务器会返回一个 302 重定向响应，而不返回 cookie。
图 2. 失败的 302 重定向响应代码示例配置单点登录要在两个集群之间共享相同的凭据，必须配置单点登录。使用单点登录，可共享轻量型第三方应用程序 (LTPA) 令牌的私钥。执行以下步骤来配置单点登录：

• 更改到第一个集群上的                    $BIGINSIGHTS_HOME/console/wlp/usr/servers/waslp-server/resources/security                    目录。
• 将 ltpa.keys 文件复制到将基于第一个集群共享凭据的第二个集群上的相同目录。
• 在第二个集群上，更改到 $BIGINSIGHTS_HOME/console/wlp/usr/servers/waslp-server 目录。更新                    server.xml 文件的 ltpa 部分的 keysFileName                    参数。令牌密码必须在两个集群上匹配。
• 保存并关闭 server.xml 文件。

配置逆向代理逆向代理是一种代理服务器，它充当着从一个或多个服务器为客户端检索资源的中介。它还会向客户端返回资源，就像这些资源最初来自逆向代理一样。逆向代理用于隐藏实际服务器的存在性。
要配置逆向代理，可以关闭集群节点连接公共网络的端口，InfoSphere BigInsights 控制台端口 (8080) 除外。如下所示，单击 the                InfoSphere BigInsights 控制台的 Quick Links 部分下的 Access secure                    cluster servers。此链接将打开逆向代理页面，这会列出 InfoSphere BigInsights 启动的所有可用作逆向代理的                HTTP 服务的 URL 和代理链接。
图 3. 访问服务器集群服务器链接备注：如果安装了具有安全特性的 InfoSphere BigInsights，那么只用具有角色                    BigInsightsSystemAdministrator 和                    BigInsightsDataAdministrator 的用户才能访问此链接。
下表列出了支持逆向代理特性的 InfoSphere BigInsights 组件。
表 2. 支持逆向代理的 InfoSphere BigInsights 组件InfoSphere BigInsights 组件默认端口Namenode（仅支持 HDFS）50070Secondary NameNode（仅支持 HDFS）50090DataNode（仅支持 HDFS）50075JobTracker（仅支持 Apache MapReduce）50030TaskTracker（仅支持 Apache MapReduce）50060Hive Web Interface9999HBase master60010HBase region server