编辑“︁Apache Hadoop安全架构”︁（章节）

== 核心组件 ==  

=== 1. 身份验证（Authentication） ===  
Hadoop使用'''Kerberos'''协议实现强身份验证，确保用户和服务（如DataNode、NameNode）的身份合法性。  

==== Kerberos工作流程 ====  
<mermaid>
sequenceDiagram
    participant Client
    participant KDC(Key Distribution Center)
    participant Service
    Client->>KDC: 请求TGT（Ticket Granting Ticket）
    KDC-->>Client: 返回加密的TGT
    Client->>KDC: 请求服务票据（ST）
    KDC-->>Client: 返回加密的ST
    Client->>Service: 发送ST进行验证
    Service-->>Client: 允许访问
</mermaid>

==== 配置示例 ====  
在`core-site.xml`中启用Kerberos：  
<syntaxhighlight lang="xml">
<property>
    <name>hadoop.security.authentication</name>
    <value>kerberos</value>
</property>
</syntaxhighlight>

=== 2. 授权（Authorization） ===  
Hadoop通过以下机制控制资源访问权限：  
* '''HDFS ACL'''：扩展了传统的POSIX权限模型。  
* '''YARN队列ACL'''：限制用户提交任务到特定队列。  

==== HDFS ACL示例 ====  
为目录`/data/secure`设置用户`alice`的读写权限：  
<syntaxhighlight lang="bash">
hdfs dfs -setfacl -m user:alice:rw- /data/secure
hdfs dfs -getfacl /data/secure
# 输出：
# user::rwx
# user:alice:rw-
# group::r-x
# mask::rwx
</syntaxhighlight>

=== 3. 审计（Auditing） ===  
Hadoop记录关键操作（如文件访问、任务提交）到审计日志，通常存储在`/var/log/hadoop-audit.log`。  

=== 4. 数据加密（Data Encryption） ===  
支持传输层加密（TLS/SSL）和静态数据加密（HDFS Transparent Encryption）。  

==== 启用HDFS加密 ====  
<syntaxhighlight lang="bash">
hdfs crypto -createZone -keyName mykey -path /zone/encrypted
</syntaxhighlight>