Hadoop API服务器通过SPNEGO中继Kerberos身份验证_Hadoop_Kerberos_Spnego_Gssapi

Hadoop API服务器通过SPNEGO中继Kerberos身份验证

hadoop

Hadoop API服务器通过SPNEGO中继Kerberos身份验证,hadoop,kerberos,spnego,gssapi,Hadoop,Kerberos,Spnego,Gssapi,我想从Windows PC上的Chrome到Hadoop（kerberized），使用SPNEGO进行Kerberos身份验证在直接从windows PC请求Hadoop的情况下，我认为身份验证将正常通过 |Windows PC(Chrome)| -- SPNEGO --> |Hadoop(HDFS..etc)| 然而，在实际的系统配置中，同时有一个RESTAPI，有必要将请求中继到Hadoop |Windows PC(Chrome)| -- SPNEGO --> |REST A

我想从Windows PC上的Chrome到Hadoop（kerberized），使用SPNEGO进行Kerberos身份验证

在直接从windows PC请求Hadoop的情况下，我认为身份验证将正常通过

|Windows PC(Chrome)| -- SPNEGO --> |Hadoop(HDFS..etc)|

然而，在实际的系统配置中，同时有一个RESTAPI，有必要将请求中继到Hadoop

|Windows PC(Chrome)| -- SPNEGO --> |REST API Server| --> SPNEGO --> |Hadoop(HDFS..etc)|

这可能吗

如果是这样，在REST API端需要什么样的实现才能将Windows PC凭据完整地传递给Hadoop？

出于安全原因，通常禁止“双跳”：如果攻击者控制您的API服务器，那么它可以在任何位置的任何服务器/服务上模拟任何连接的用户。Duh.微软有“限制授权”来降低风险，因此有了.NET服务和足够的耐心，你可能会得到安全许可…嗨。我只知道在这种配置中“受限委派”是必要的。谢谢