Hadoop HDP：混淆了knox代理（API）、代理（UI）和SSO

目前，在我们的HDP环境中，我们已经尝试设置了第一层和第二层安全性，kerberos和ranger。然后我们要添加第三层，Knox

在我们阅读了HDP3.1.4的Knox参考中的一些文档和另一页之后，我们发现Knox的3个选项正在HDP集群中实现，第一个是Knox代理（api）、代理（ui）和SSO

在我们的需要中，我们希望使用代理（api），并得到实现它的提示（与kerberos结合）。 但是我们混淆了如何实现功能代理ui和SSO

他们俩有什么不同

当我们使用代理ui和SSO时

我们可以同时使用三个Knox选项吗

基于此，需要配置ambari身份验证的步骤是“为LDAP/AD配置ambari身份验证”。这是否意味着我们放弃使用kerberos的ambari身份验证？ 但对于knox支持的矩阵，状态knox SSO可以在kerberized集群中配置，这又如何呢

我们找不到如何使用和配置Knox代理（UI）。这是否意味着，如果我们想启动atlas应用程序，knox认证表会首先出现，还是会有所不同

---

问候看完你的帖子后，我也感到困惑。Knox用作身份验证端点，即最终用户通常提供HTTP基本身份验证（由SSL屏蔽的用户/pwd），Knox通过LDAP后端验证该身份验证，然后Knox使用Kerberos身份验证（HTTP上的SPNego）转发通信量，使用其自己的凭据和一些标志请求“t请相信我，我是Knox，我认识他/她，我有权模仿他/她”（参见Hadoop配置文件中的

proxyuser.Knox

settings）.Knox还有一个管理UI，它通常使用LDAP支持的相同HTTP基本身份验证。但是，当使用Ambari或Cloudera Manager时，您通常不关心该UI。最后，如果您的组织已经为其intranet门户等提供了SSO，您可以使用相同的SSO机制对Knox进行身份验证（使用SPNego而不是HTTP BASIC）。如果您的Hadoop群集使用自己的Kerberos KDC而不是SSO使用的公司KDC，则可能非常有用。首先，我编辑了上面的问题。“Knox用作身份验证端点…Hadoop配置文件）“是关于knox作为代理api吗？如果是，如何通过具有LDAP身份验证的api识别用户，然后通过kerberos身份验证转发到集群？我们也必须在KDC中注册用户吗？“Knox还有…关于该UI”>>>是关于Knox管理UI的吗？或者像Knox这样不同的东西，在访问每个atlas/ranger/ambari之前提供一层验证？