配置Thrift网关以代表客户端进行身份验证
配置Thrift网关以代表客户端进行身份验证
Thrift Gateway是用于安全操作的客户端配置,它描述了如何使用固定用户向HBase验证Thrift客户端。作为替代,您可以将Thrift网关配置为代表客户端向HBase进行身份验证,并使用代理用户访问HBase。这为Thrift 1在HBASE-11349中实现,并且为Thrift 2在HBASE-11474中实现。
Thrift框架传输的局限性
如果使用框架传输,那么您目前还不能利用此功能,因为SASL目前不支持Thrift框架传输。
要启用它,请执行以下操作:
- 请确保Thrift以安全模式运行,方法是按照用于安全操作的客户端配置:Thrift Gateway中描述的过程。
- 确保HBase配置为允许代理用户,如REST网关模拟配置中所述。
- 在运行Thrift网关的每个群集节点的hbase-site.xml中,将该hbase.thrift.security.qop属性设置为以下三个值之一:
- privacy - 身份验证、完整性和保密性检查。
- integrity - 身份验证和完整性检查。
- authentication - 仅验证身份验证检查。
- 重新启动Thrift网关进程以使更改生效。如果一个节点正在运行Thrift,那么该jps命令的输出将列出一个ThriftServer进程。要停止节点上的Thrift,请运行该bin/hbase-daemon.sh stop thrift命令。要在节点上启动Thrift,请运行该bin/hbase-daemon.sh start thrift命令。