hadoop kerberos 认证原理

Kerberos是一种网络认证协议，其设计目标是在非安全网络环境中提供相互信任的第三方认证服务。

Hadoop通过Kerberos进行身份验证和授权，以确保只有经过验证的用户才能访问HDFS和YARN等组件。

Kerberos的认证过程如下：
1. 客户端向Kerberos服务器发送初始票据TGT（Ticket-Granting Ticket）请求。

2. 若客户端首次请求，它会从Key Distribution Center (KDC)获取一个初始票据TGT。

3. 使用这个TGT，客户端可以向Kerberos服务器请求服务票据（Service Ticket）。

4. 客户端使用服务票据向指定的服务或应用请求访问。

5. 应用验证服务票据的真实性后，允许客户端访问。

在这个过程中，涉及到了多个重要的票据和消息，如AS_REQ（Authentication Service Request）、AS_REP（Authentication Service Reply）、TGS_REQ（Ticket Granting Service Request）、TGS_REP（Ticket Granting Service Reply）、AP-REQ（Application Request）和AP-REP （Application Reply）。

这些票据和消息确保了通信双方的身份、请求的合法性和服务的安全性。