使用knox的HiveSever2安全性

Question

CASE1：我想使用knox保護配置單元。因此，我在hive ldap和knox之間進行了整合。 我能夠使用excel和odbc驅動程序使用knox以及jdbc來訪問hive server2 但是，當我測試beeline/ODBC上的默認登錄時，我可以使用下面的任何用戶名和密碼不應該發生

連接到jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice

CASE2：我已經啓用蜂房Server2上LDAP身份驗證，現在默認登錄到直線是禁用 只有LDAP使用端口10001允許的。但知道當我通過諾克斯測試它，我越來越 無效的憑據錯誤。

如何禁用默認登錄使用情況下的情況1. 或者如果我必須使用情況2，我該如何解決此問題。

Answer 1

您所描述的事實是，您的Hadoop部署不會阻止通過網絡安全，防火牆等直接訪問後端服務，並且您沒有使用kerberos保護羣集。

這不是一個真正的諾克斯問題，而是您的集羣部署問題。如果你的集羣沒有防火牆，並且不需要克服它，那麼用戶可以直接進入服務並繞過網關中的認證機制。

理想情況下，您將保護您的集羣（包括HiveServer2），這將需要用戶通過kerberos/SPNEGO進行身份驗證。然後諾克斯將被設置爲一個受信任的代理，它將允許代表特定組中的最終用戶行事。 Knox將自己認證爲HS2，並聲明Hive作業的最終用戶身份爲/ for。

希望有幫助。