我需要“克服”我们的Greenplum集群。其中一个方面是我应该克服GP主站和它的段主机之间的接口。我一直无法确定这是否得到支持。Greenplum是否支持其节点之间的Kerberos身份验证?
我已经看到posgresql.conf文件(krb_server_keyfile和krb_srvname)中的参数,并试图设置这些,但它似乎不工作(Greenplum仍然有效,它只是不显示连接被kerberized)。
我用hadoop做了这件事,它非常简单,但是,又一次无法弄清楚如何在GP中做到这一点,或者甚至有可能。有任何想法吗?
感谢
所以......答案,尽可能接近我可以告诉大家的是:
首先,澄清,有我在哪里需要“kerberize” GP两个地方。主/从连接中的第一个。当我知道这个通信是基于ssh的时候,事实证明这很容易。我只是使用Kerberos SSH切换rsa/dsa生成的无密码授权。我不确定这真的是或多或少的安全,但一个要求没有。第二个是锁定管理/ jdbc访问。这应该很容易,毕竟GP基于Postgres,过去我已经用Kerberos保护Postgres。不幸的是,GP基于Postgres 8.2。这是在GSS对Kerberos的支持添加到Postgres之前,我无法得到这个工作。我不确定它可以。也许GP很快会升级到8.4(至少),我可以尝试。
参考Greenplum HD Manager 1.2 Installation and User Guide关于如何部署Kerberos的说明。该文档与Hadoop相关,但应该用于一般的Greenplum安装。
谢谢约翰,但是,我不认为这是我真正想要的。这些方向锁定了GPHD(Greenplum Hadoop)。接下来会产生一个安全的“kerberized”Hadoop实现。这些方向似乎没有包含的是保护Greenplum本身的能力。我不太了解GP,所以也许我错过了这艘船,但是GP有几个节点都可以相互交谈,对吧?这与Hadoop无关,对吧?这是需要被锁定的通信。当GP主机向某个分段主机发送某些内容时,该如何保证? – Wanderer 2013-03-04 19:34:50
Greenplum上的节点间通信通过SSH和pg_hba.conf文件中节点之间的访问限制进行管理。数据库节点甚至不应允许常规用户在理想情况下登录。 – 2013-03-04 22:00:54
hhmmm我会玩那一点。根据头文件,我认为文件(pg_hba.conf)只管理客户端连接而不是节点间连接。将检查并回复。我很感激你对这个话题的想法。 – Wanderer 2013-03-05 14:13:36
你为什么要克服GP集群? – 2013-03-01 22:48:02
Kerberos的要点是保护和锁定服务器之间的访问。 GP运行几个。我希望Kerberos可以用来防止中间人攻击。 – Wanderer 2013-03-04 19:14:30