10장 계정 서비스와의 통합
보안 메커니즘은 클라이언트, 서비스, 그리고 사용자와 그룹이 존재하는 운영체제 사이의 공통적인 이해에 크게 의존한다. 클러스터 서비스가 인증(Authentication) 및 권한 확인(Authorization)을 위해 계정 관리 서비스(Identity management service)를 어떻게 이용하는지, 그리고 어떤 계정 서비스들을 사용할 수 있는지 이해해 환경에 최적화 된 클러스터를 구성한다.
통합이 필요한 영역
- 커버로스(Kerberos)
- 사용자 계정과 그룹
- 인증서 관리
통합 시나리오
시나리오 1 : HDFS에 파일 쓰기
시나리오 2 : 하이브 질의 실행
시나리오 3 : 스파크 작업 실행
통합 계정 서비스
- 커버로스
- MIT 커버로스
- 헤임달 커버로스
- 마이크로소프트 액티브 디렉토리
- 레드햇 아이덴티티 매니지먼트 또는 IdM의 오픈소스 버전 FreeIPA
- 사용자와 그룹
- 로컬 리눅스 사용자 및 그룹
- LDAP 호환 디렉토리 서비스
- OpenLDAP
- 마이크로소프트 액티브 디렉토리
- IdM/FreeIPA
- 인증서 관리
- 로컬 및 OpenSSL을 이용한 자체 서명 인증성
- 마이크로소프트 액티브 디렉토리
- IdM / FreeIPA
LDAP 통합
배경
- 조직(AD의 경우 도메인)
- 사용자
- 그룹
- 조직 단위
LDAP 보안
로드 밸런싱
애플리케이션 통합
- never
- alloow
- try
리눅스 통합
SSSD(System Security Services Daemon)
커버로스 통합
커버로스 클라이언트
KDC 통합
렐름 간 신뢰 구성
로컬 클러스터 KDC
로컬 클러스터 KDC와 기업 사용자 KDC
기업 KDC
인증서 관리
- 향상된 신뢰
- 손쉬운 관리