使用knox的HiveSever2安全性

Question

CASE1:我想使用.So来保护蜂窝，我在hive和knox之间进行了集成。我可以使用excel访问server2，也可以使用not和jdbc访问odbc驱动程序，但在同一时间，当我测试在beeline/ODBC上的默认登录时，我可以使用下面的任何用户和密码进行访问，这在理想情况下是不应该发生的。

连接到jdbc:hive2://<hostip>:10001/default;transportMode=http;httpPath=cliservice

CASE2:我已经在hive 2上启用了LDAP身份验证，现在默认的直接登录是禁用的，只允许使用端口10001的LDAP。但是，当我通过knox测试它时，我会得到无效的凭据错误。

如何在案例1中禁用默认登录，或者如果我必须使用案例2，我如何解决这个问题。

Answer 1

您所描述的事实是，Hadoop部署没有阻止直接访问具有网络安全、防火墙等的后端服务，并且没有使用kerberos对集群进行安全保护。

这实际上不是Knox问题，而是集群的部署问题。如果您不对集群进行防火墙，也不对其进行角化，那么用户可以自己直接访问服务，并绕过网关中的身份验证机制。

理想情况下，您应该保护集群(包括HiveServer2)，这将要求用户通过kerberos/SPNEGO进行身份验证。然后，将Knox设置为受信任的代理，这将允许它代表特定组/s中的最终用户行事。Knox将作为自身身份验证到HS2，并断言以/ for方式运行的Hive作业的最终用户的身份。

希望这是有帮助的。