在《Kerberos和Apache Sentry干货实践(上)》一文中,主要介绍了Kerberos原理及搭建过程,本文继续讲解Apache Sentry以及其如何和Kerberos配合进行访问权限控制的。
一、Apache Sentry是什么?
Apache Sentry提供了大数据组件访问的权限控制。与Kerberos不同的是,当A组件去访问B组件时,Kerberos承载的身份认证完成,确保A组和B组的身份不被假冒后,Sentry来管理A有哪些权限,能够访问B组件上的哪些内容。
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。Sentry是一个基于角色的粒度授权模块,提供了对Hadoop集群上经过身份验证的用户提供了控制和强制访问数据或数据特权的能力。它可以与Hive、Impala、Solr、HDFS和HBase集成。Sentry旨在成为可插拔授权引擎的Hadoop组件。允许定义授权规则以验证用户或应用程序对Hadoop资源的访问请求。
二、特性
a) 用户和组映射
Sentry依靠底层身份验证系统(如Kerberos或LDAP)来识别用户。它还使用Hadoop中配置的组映射机制来确保Sentry看到与Hadoop生态系统的其他组件相同的组映射。
原文链接:【https://www.infoq.cn/article/A6vvRKIVEf8Gm9D7OU8S】。未经作者许可,禁止转载。