使用spnego的Mlflow授权

Question

我看到了关于Kerberos创作- https://github.com/mlflow/mlflow/issues/2678的这个主题。那是在2020年。我们的团队试图通过spnego对kerberos进行身份验证。我们在nginx服务器上做了spnego，这很好-当我们对mlflow http uri做curl时得到代码200。但是我们不能用mlflow环境变量来实现它。

问题是: mlflow是否具有使用spnego进行身份验证的特性？或者只有这些用于身份验证的环境变量和这样的方法：

• MLFLOW_TRACKING_USERNAME和MLFLOW_TRACKING_PASSWORD -用户名和密码用于HTTP身份验证。若要使用基本身份验证，必须同时设置两个环境变量。
• MLFLOW_TRACKING_TOKEN -与HTTP身份验证一起使用的令牌。如果设置了基本身份验证，则优先。
• MLFLOW_TRACKING_INSECURE_TLS -如果设置为文本true，MLflow不会验证TLS连接，这意味着它不会验证https:// tracking URI的证书或主机名。不建议在生产环境中使用此标志。如果将此设置为true，则不能设置MLFLOW_TRACKING_SERVER_CERT_PATH。
• MLFLOW_TRACKING_SERVER_CERT_PATH -通往要使用的CA包的路径。设置requests.request函数的验证参数(参见https://requests.readthedocs.io/en/master/api/)。当使用自签名服务器证书时，可以使用此证书在客户端验证它。如果设置了这个值，则不能设置MLFLOW_TRACKING_INSECURE_TLS (false)。
• MLFLOW_TRACKING_CLIENT_CERT_PATH - ssl (.pem)的路径。设置requests.request函数的cert (参见https://requests.readthedocs.io/en/master/api/)。这可用于使用(自签名)客户端证书。

Answer 1

我看了源代码。不，mlflow.utils.rest_utils.http_request函数不以任何方式支持SPNEGO -它只能发送HTTP 'Basic‘或'Bearer’授权头。

但是，应该相对容易地将其更改为使用吡咯烷酮生成“协商”头，甚至使用请求-gssapi，因为它已经在内部使用请求：

# For Linux:
import requests_gssapi
# For Windows:
#import requests_negotiate_sspi

def http_request(...):
    ...
    if not auth_str:
        # For Linux:
        kwargs["auth"] = requests_gssapi.HTTPSPNEGOAuth()
        # For Windows:
        #kwargs["auth"] = requests_negotiate_sspi.HttpNegotiateAuth()
    ...