在《Kerberos和Apache Sentry乾貨實踐(上)》一文中,主要介紹了Kerberos原理及搭建過程,本文繼續講解Apache Sentry以及其如何和Kerberos配合進行訪問權限控制的。
一、Apache Sentry是什麼?
Apache Sentry提供了大數據組件訪問的權限控制。與Kerberos不同的是,當A組件去訪問B組件時,Kerberos承載的身份認證完成,確保A組和B組的身份不被假冒後,Sentry來管理A有哪些權限,能夠訪問B組件上的哪些內容。
Apache Sentry是Cloudera公司發佈的一個Hadoop開源組件,2016年3月成爲Apache頂級項目。Sentry是一個基於角色的粒度授權模塊,提供了對Hadoop集羣上經過身份驗證的用戶提供了控制和強制訪問數據或數據特權的能力。它可以與Hive、Impala、Solr、HDFS和HBase集成。Sentry旨在成爲可插拔授權引擎的Hadoop組件。允許定義授權規則以驗證用戶或應用程序對Hadoop資源的訪問請求。
二、特性
a) 用戶和組映射
Sentry依靠底層身份驗證系統(如Kerberos或LDAP)來識別用戶。它還使用Hadoop中配置的組映射機制來確保Sentry看到與Hadoop生態系統的其他組件相同的組映射。
原文鏈接:【https://www.infoq.cn/article/A6vvRKIVEf8Gm9D7OU8S】。未經作者許可,禁止轉載。