簡單介紹

此文件描寫敘述了怎樣配置Hadoop HTTP web控制檯，去要求使用者認證。

預設地，Hadoop HTTP web控制檯(JobTracker, NameNode, TaskTrackers 和 DataNodes)不須要不論什麼認證就同意訪問。

與Hadoop RPC相似, Hadoop HTTP web控制檯能夠被配置為須要使用HTTP SPNEGO協議認證(由FireFox或IE支援)。

還有，Hadoop HTTP web控制檯同等地支援Hadoop's Pseudo/Simple 認證。假設此選項啟用了，使用者必須在首次瀏覽器互動中使用user.name查詢引數指定它們的username。比如： http://localhost:50030/jobtracker.jsp?user.name=babu

假設一個使用者認證機制被Hadoop HTTP web控制檯要求，也能夠實現一個外掛支援動態認證機制(轉到Hadoop-auth看很多其它寫AuthenticatorHandler的細節)

下一部分描寫敘述了怎樣配置一個Hadoop HTTP web控制檯，去要求使用者認證。

配置

以下的屬性應該在叢集中的全部節點上的core-site.xml中。

hadoop.http.filter.initializers: 加入�到這個屬性 org.apache.hadoop.security.AuthenticationFilterInitializer 初始化類。

hadoop.http.authentication.type

支援的值是: simple | kerberos | #AUTHENTICATION_HANDLER_CLASSNAME#.預設值是 simple.

hadoop.http.authentication.token.validity: 宣告一個認證token在必須被更新之前合法的時間是多長(秒)。預設值是36000.

hadoop.http.authentication.signature.secret.file: 用於簽發認證token的簽名password檔案。相同的password應該用在叢集中的全部節點上，JobTracker, NameNode, DataNode 和TastTracker. 預設值是 $user.home

重要: 這個檔案應該僅僅對由執行這些守護程序的Unix使用者可讀。

hadoop.http.authentication.cookie.domain: 用於存放認證token HTTP cookie 的域。為了認證可以在叢集中全部節點上正確地工作，域必須正確地設定。這裡沒有預設值，HTTP cookie不會與僅僅有一個域的主機發出的HTTP cookie 工作。

重要: 當使用IP地址時，瀏覽器忽略設定的cookie。由於這個設定工作正常的條件是叢集中的全部節點必須配置為用hostname.domain 生成URL。

hadoop.http.authentication.simple.anonymous.allowed: 聲明當使用'simple' 認證時，同意全部的匿名訪問。預設值是true.

hadoop.http.authentication.kerberos.principal: 當使用'kerberos'時認證時，宣告為HTTP終端使用的認證規則。規則的簡稱必須是HTTP per Kerberos HTTP SPNEGO 式的宣告。預設值是 HTTP/[email protected]$LOCALHOST, 假設當前的被HTTPserver的繫結地址替換了就用_HOST。

hadoop.http.authentication.kerberos.keytab: 用於HTTP終端的包括認證規則憑證的keytab檔案的位置。預設值是$user.home/hadoop.keytab.i。