我需要「克服」我們的Greenplum集羣。其中一個方面是我應該克服GP主站和它的段主機之間的接口。我一直無法確定這是否得到支持。Greenplum是否支持其節點之間的Kerberos身份驗證?
我已經看到posgresql.conf文件(krb_server_keyfile和krb_srvname)中的參數,並試圖設置這些,但它似乎不工作(Greenplum仍然有效,它只是不顯示連接被kerberized)。
我用hadoop做了這件事,它非常簡單,但是,又一次無法弄清楚如何在GP中做到這一點,或者甚至有可能。有任何想法嗎?
感謝
所以......答案,儘可能接近我可以告訴大家的是:
首先,澄清,有我在哪裏需要「kerberize」 GP兩個地方。主/從連接中的第一個。當我知道這個通信是基於ssh的時候,事實證明這很容易。我只是使用Kerberos SSH切換rsa/dsa生成的無密碼授權。我不確定這真的是或多或少的安全,但一個要求沒有。第二個是鎖定管理/ jdbc訪問。這應該很容易,畢竟GP基於Postgres,過去我已經用Kerberos保護Postgres。不幸的是,GP基於Postgres 8.2。這是在GSS對Kerberos的支持添加到Postgres之前,我無法得到這個工作。我不確定它可以。也許GP很快會升級到8.4(至少),我可以嘗試。
參考Greenplum HD Manager 1.2 Installation and User Guide關於如何部署Kerberos的說明。該文檔與Hadoop相關,但應該用於一般的Greenplum安裝。
謝謝約翰,但是,我不認爲這是我真正想要的。這些方向鎖定了GPHD(Greenplum Hadoop)。接下來會產生一個安全的「kerberized」Hadoop實現。這些方向似乎沒有包含的是保護Greenplum本身的能力。我不太瞭解GP,所以也許我錯過了這艘船,但是GP有幾個節點都可以相互交談,對吧?這與Hadoop無關,對吧?這是需要被鎖定的通信。當GP主機向某個分段主機發送某些內容時,該如何保證? – Wanderer 2013-03-04 19:34:50
Greenplum上的節點間通信通過SSH和pg_hba.conf文件中節點之間的訪問限制進行管理。數據庫節點甚至不應允許常規用戶在理想情況下登錄。 – 2013-03-04 22:00:54
hhmmm我會玩那一點。根據頭文件,我認爲文件(pg_hba.conf)只管理客戶端連接而不是節點間連接。將檢查並回復。我很感激你對這個話題的想法。 – Wanderer 2013-03-05 14:13:36
你爲什麼要克服GP集羣? – 2013-03-01 22:48:02
Kerberos的要點是保護和鎖定服務器之間的訪問。 GP運行幾個。我希望Kerberos可以用來防止中間人攻擊。 – Wanderer 2013-03-04 19:14:30