CN112291244A - 一种工业生产数据实时处理平台系统多租用户方法 - Google Patents

Abstract

本发明公开了一种工业生产数据实时处理平台系统多租用户方法，第一步骤、统一身份认证服务；第二步骤、多租用户创建与系统用户映射；第三步骤、Zeppelin登陆认证模块修改；第四步骤、任务自动化认证；使用统一身份认证服务管理用户并对账号的资源范围进行控制；创建多租用户账号，每个用户账号对应一个分组，通过用户文件系统和分布式文件系统来控制权限；更改Zeppelin登陆认证模块为调用统一身份认证服务；提交任务到集群实现Kerberos自动化认证。采用统一身份认证服务，实现多租用户隔离，保证集群数据安全性，实现工业生产数据实时处理平台系统与大数据系统平台无缝衔接，完成用户登陆认证和平台服务认证授权。

Description

一种工业生产数据实时处理平台系统多租用户方法

技术领域

本发明涉及平台系统的技术领域，尤其是一种工业生产数据实时处理平台系统多租用户方法。

背景技术

目前，多人或多项目组使用相同权限操作数据实时处理平台系统访问大数据系统，主要存在以下几个问题：

一、会提高系统维护成本：集群系统在升级时需要对平台所用用户进行更新处理；

二、会降低数据安全性：开发人员账户混用、命令操作无记录、高危操作无法控制、敏感数据泄露等；

三、会无法管理集群资源：不同部门或不同项目组会产生资源竞争问题，导致集群任务无法正常运行。

发明内容

本发明要解决的技术问题是：为了解决上述背景技术中存在的问题，提供一种工业生产数据实时处理平台系统多租用户方法，采用统一身份认证服务，实现多租用户隔离，保证集群数据安全性，实现工业生产数据实时处理平台系统与大数据系统平台无缝衔接，完成用户登陆认证和平台服务认证授权。

本发明解决其技术问题所采用的技术方案是：一种工业生产数据实时处理平台系统多租用户方法，具体步骤如下：

第一步骤、统一身份认证服务；

第二步骤、多租用户创建与系统用户映射；

第三步骤、Zeppelin登陆认证模块修改；

第四步骤、任务自动化认证；

使用统一身份认证服务管理用户并对账号的资源范围进行控制；创建多租用户账号，每个用户账号对应一个分组，通过用户文件系统和分布式文件系统来控制权限；更改Zeppelin登陆认证模块为调用统一身份认证服务；提交任务到集群实现Kerberos自动化认证。

进一步具体地说，上述技术方案中，在所述的统一身份认证服务中，认证体系包括账号管理、认证、Linux服务器的授权认证以及审计，账号管理采用的是LDAP服务，认证采用的是Kerberos，Linux服务器的授权认证采用的是SSSD，使用SSSD接收LDAP的账户数据，实现多租用户单点登录。

进一步具体地说，上述技术方案中，在所述的多租用户创建与系统用户映射中，创建用户对应一个独立账号，用户归为一个分组，同时映射大数据平台系统上的用户与组，并使用HDFS组管控大数据平台系统集群组件权限。

进一步具体地说，上述技术方案中，在所述的Zeppelin登陆认证模块修改中，在Zeppelin原生Shiro Conf文件中配置LDAP服务，使用Zeppelin登陆使用LDAP服务中用户进行登陆校验，修改ZeppelinServer端登陆模块，实现多租用户的独立认证、不同模块的无缝登陆认证。

进一步具体地说，上述技术方案中，在所述的任务自动化认证中，增加KinitShell脚本传入用户账号、密码完成Kerberos Kinit操作，新增Expect Shell脚本，实现租户自动化免密登陆，并调用Kinit Shell脚本进行Kerberos认证操作，最终提交任务到大数据平台系统。

进一步具体地说，上述技术方案中，所述的统一身份认证服务，其具体步骤如下：

第一步骤、LDAP的安装：更新LinuxOS源以及配置Epel源，安装openldap-servers服务端、openldap-clients客户端，采用数据库配置模式，导入Schema文件，定义管理员以及整个组织架构；

第二步骤、Kerberos的安装：设置集群时钟同步，安装krb5-server服务端，配置加密方式、域名、认证失效时间，创建Kberberos数据库和管理员账户，安装krb5-workstation客户端，使客户端通过服务端创建的principal票据进行Kerberos认证；

第三步骤、CA颁发机构创建：使用openssl服务创建CA认证，并生成用户证书，使LDAP用户都用各自的用户证书并且有可读权限；

第四步骤、SSSD的安装：安装SSSD服务，使用SSSD缓存用户信息，将配置好的CA用户证书拷贝到SSSD查找CA证书路径下，实现用户单点登录功能。

进一步具体地说，上述技术方案中，所述的多租用户创建与系统用户映射，其具体步骤如下：

第一步骤、多租用户创建：创建工业生产数据实时处理平台系统用户并且保存到数据库中，把已经创建的用户信息导入到LDAP中以供SSSD使用；

第二步骤、权限组创建：根据不同的项目、任务需求创建不同的项目组，把已经创建的用户分配到指定用户组中，创建任务所需对应的权限，同样把用户组信息导入到LDAP中以供SSSD使用；

第三步骤、大数据平台系统集群用户与组映射：获取多租用户元数据信息，根据用户信息使用分布式文件系统HDFS超级用户创建多租用户根目录，并且创建多租用户和多租用户所在组；

第四步骤、多租用户资源赋权：根据多租用户所在组所需权限把大数据平台系统相关组件权限进行赋权，实现工业生产数据实时处理平台系统权限与大数据平台系统权限相映射。

进一步具体地说，上述技术方案中，所述的Zeppelin登陆认证模块修改，其具体步骤如下：

第一步骤、Zeppelin开启LDAP用户认证：进入Zeppelin根目录Conf子目录中，修改shiro.ini文件，配置开启LADP服务，实现多租用户登陆功能；

第二步骤、增加Zeppelin独立认证功能：修改Zeppelin-Server模块，指定多租用户信息维护在数据库中，并且加密存储提供高可靠服务。

进一步具体地说，上述技术方案中，所述的任务自动化认证，其具体步骤如下：

第一步骤、增加Kinit脚本：新增Kinit Shell脚本，指定传入参数为多租户户名、密码，完成Kerberos Kinit认证操作；

第一步骤、增加Expect脚本：新增Expect Shell脚本，实现多租用户su方式完成自动化的免密登陆，并且调用Kinit Shell脚本；

第三步骤、任务提交：租户完成以上步骤认证通过后，启动该租户对应组件解释器，实现组件服务监听，完成客户端提交的任务操作。

本发明的有益效果是：本发明的一种工业生产数据实时处理平台系统多租用户方法，解决多人或多项目组使用相同权限操作数据实时处理平台系统访问大数据系统集群资源安全隐患问题，采用统一身份认证服务，实现多租用户隔离，保证集群数据安全性，实现工业生产数据实时处理平台系统与大数据系统平台无缝衔接，完成用户登陆认证和平台服务认证授权。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的原理图。

具体实施方式

为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

见图1，本发明的一种工业生产数据实时处理平台系统多租用户方法，即一种基于Zeppelin集成Kerberos认证的工业生产数据实时处理平台系统多租用户方法，具体步骤如下：

第一步骤、统一身份认证服务；

第二步骤、多租用户创建与系统用户映射；

第三步骤、Zeppelin登陆认证模块修改；

第四步骤、任务自动化认证；

使用统一身份认证服务管理用户并对账号的资源范围进行控制，认证体系采用LDAP+Kerberos+SSSD实现；创建多租用户账号，每个用户账号对应一个分组，通过Linux用户文件系统和分布式文件系统HDFS组来控制权限；更改Zeppelin登陆认证模块为调用统一身份认证服务；提交任务到集群基于Expect脚本实现Kerberos自动化认证。

本发明解决多人或多项目组使用相同权限操作数据实时处理平台系统访问大数据系统集群资源安全隐患问题，采用统一身份认证服务，实现多租用户隔离，保证集群数据安全性，实现工业生产数据实时处理平台系统与大数据系统平台无缝衔接，完成用户登陆认证和平台服务认证授权。

Zeppelin是一个高性能、高可用的分布式Key-Value存储平台，以高性能、大集群为目标，在Zeppelin的基础上，不仅能够提供KV的访问，还可以通过简单的一层转换满足更复杂的协议需求。

Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务；该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据；在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。

一、在统一身份认证服务中，认证体系包括账号管理、认证、Linux服务器的授权认证以及审计，账号管理采用的是LDAP服务，认证采用的是Kerberos，Linux服务器的授权认证采用的是SSSD，使用SSSD接收LDAP的账户数据，实现多租用户单点登录。

Linux服务器的核心系统以Linux系统为主，它用于处理业务应用，如网络和系统管理、数据库管理和Web服务等，是具备高性能和开源性的一种服务器。

LDAP是Lightweight Directory Access Protocol的缩写，其中文名是轻型目录访问协议，LDAP是一个开放的、中立的、工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。

SSSD是一个守护进程，该进程可以用来访问多种验证服务器，如LDAP、Kerberos等，并提供授权；SSSD是介于本地用户和数据存储之间的进程，本地客户端首先连接SSSD，再由SSSD联系外部资源提供者(一台远程服务器)。

该统一身份认证服务的具体步骤如下：

第一步骤、LDAP的安装：更新LinuxOS源以及配置Epel源，安装openldap-servers服务端、openldap-clients客户端，采用数据库(cn＝config)配置模式，导入Schema文件，定义管理员以及整个组织架构；

第二步骤、Kerberos的安装：设置集群时钟同步，安装krb5-server服务端，配置加密方式、域名、认证失效时间，创建Kberberos数据库和管理员账户，安装krb5-workstation客户端，使客户端通过服务端创建的principal票据进行Kerberos认证；

第三步骤、CA颁发机构创建：使用openssl服务创建CA认证，并生成用户证书，使LDAP用户都用各自的用户证书并且有可读权限；

第四步骤、SSSD的安装：安装SSSD服务，使用SSSD缓存用户信息，将配置好的CA用户证书拷贝到SSSD查找CA证书路径下，实现用户单点登录功能。

LinuxOS源表示系统镜像源。Epel源表示操作系统额外提供的软件包的镜像源。openldap-servers服务端表示LDAP服务端。openldap-clients客户端表示LDAP客户端。Schema文件表示定义了LDAP目录所应遵循的结构和规则的文件。krb5-server服务端表示Kerberos服务端。krb5-workstation客户端表示Kerberos客户端。principal表示客户端和服务端身份的实体。

CA颁发机构是颁发数字证书的机构，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA认证，即电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。

CA证书的内容包括电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。

openssl，在计算机网络上，它是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份，这个包广泛被应用在互联网的网页服务器上。

二、在多租用户创建与系统用户映射中，创建用户对应一个独立账号，用户归为一个分组，同时映射大数据平台系统上的用户与组，并使用HDFS组管控大数据平台系统集群组件权限。

该多租用户创建与系统用户映射的具体步骤如下：

第一步骤、多租用户创建：创建工业生产数据实时处理平台系统用户并且保存到数据库中，把已经创建的用户信息导入到LDAP中以供SSSD使用；

第二步骤、权限组创建：根据不同的项目、任务需求创建不同的项目组，把已经创建的用户分配到指定用户组中，创建任务所需对应的权限，同样把用户组信息导入到LDAP中以供SSSD使用；

第三步骤、大数据平台系统集群用户与组映射：获取多租用户元数据信息，根据用户信息使用分布式文件系统HDFS超级用户创建多租用户根目录，目录赋值权限为755，并且创建多租用户和多租用户所在组；

第四步骤、多租用户资源赋权：根据多租用户所在组所需权限把大数据平台系统相关组件权限进行赋权，实现工业生产数据实时处理平台系统权限与大数据平台系统权限相映射。

需要说明的是：在目录赋值权限为755中，755是设置的，但是要上权限控制需要设置为755。

HDFS(Hadoop分布式文件系统)是指被设计成适合运行在通用硬件(commodityhardware)上的分布式文件系统(Distributed File System)。

三、在Zeppelin登陆认证模块修改中，在Zeppelin原生Shiro Conf文件中配置LDAP服务，使用Zeppelin登陆使用LDAP服务中用户进行登陆校验，修改ZeppelinServer端登陆模块，实现多租用户的独立认证、不同模块的无缝登陆认证，避免多次密码输入和流程中断。

该Zeppelin登陆认证模块修改的具体步骤如下：

第一步骤、Zeppelin开启LDAP用户认证：进入Zeppelin根目录Conf子目录中，修改shiro.ini文件，配置开启LADP服务，实现多租用户登陆功能；

第二步骤、增加Zeppelin独立认证功能：修改Zeppelin-Server模块，指定多租用户信息维护在数据库中，并且加密存储提供高可靠服务。

Shiro Conf文件表示zeppelin原生自有的Shiro Conf配置文件。ZeppelinServer端表示Zeppelin服务端。Conf子目录表示Zeppelin配置文件目录。shiro.ini文件表示Zeppelin配置文件目录中的shiro的配置文件。

四、在任务自动化认证中，增加Kinit Shell脚本传入用户账号、密码完成Kerberos Kinit操作，新增Expect Shell脚本，实现租户自动化免密登陆，并调用KinitShell脚本进行Kerberos认证操作，最终提交任务到大数据平台系统。

该任务自动化认证的具体步骤如下：

第一步骤、增加Kinit脚本：新增Kinit Shell脚本，指定传入参数为多租户户名、密码，完成Kerberos Kinit认证操作；

第一步骤、增加Expect脚本：新增Expect Shell脚本，实现多租用户su方式完成自动化的免密登陆，并且调用Kinit Shell脚本；

第三步骤、任务提交：租户完成以上步骤认证通过后，启动该租户对应组件解释器，实现组件服务监听，完成客户端提交的任务操作。

Kinit Shell脚本表示编写的Kerberos Kinit命令操作的脚本，即表示具有Kerberos Kinit权限认证命令的shell脚本。Kerberos Kinit表示执行具有KerberosKinit权限认证命令的shell脚本。Kerberos Kinit命令指执行Kerberos认证用户权限的操作。Expect Shell脚本表示编写Expect命令操作的脚本，即表示具有expect命令实现租户自动化免密登陆系统的shell脚本。Kinit表示Keberos认证用户(服务)的命令。Expect表示linux系统自带命令，实现自动和交互式任务进行通信。su表示Linux系统自带的命令，命令用于变更为其他使用者的身份。

以上所述的，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种工业生产数据实时处理平台系统多租用户方法，其特征在于：具体步骤如下：

第一步骤、统一身份认证服务；

第二步骤、多租用户创建与系统用户映射；

第三步骤、Zeppelin登陆认证模块修改；

第四步骤、任务自动化认证；

使用统一身份认证服务管理用户并对账号的资源范围进行控制；创建多租用户账号，每个用户账号对应一个分组，通过用户文件系统和分布式文件系统来控制权限；更改Zeppelin登陆认证模块为调用统一身份认证服务；提交任务到集群实现Kerberos自动化认证。

2.根据权利要求1所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：在所述的统一身份认证服务中，认证体系包括账号管理、认证、Linux服务器的授权认证以及审计，账号管理采用的是LDAP服务，认证采用的是Kerberos，Linux服务器的授权认证采用的是SSSD，使用SSSD接收LDAP的账户数据，实现多租用户单点登录。

3.根据权利要求1所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：在所述的多租用户创建与系统用户映射中，创建用户对应一个独立账号，用户归为一个分组，同时映射大数据平台系统上的用户与组，并使用HDFS组管控大数据平台系统集群组件权限。

4.根据权利要求1所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：在所述的Zeppelin登陆认证模块修改中，在Zeppelin原生Shiro Conf文件中配置LDAP服务，使用Zeppelin登陆使用LDAP服务中用户进行登陆校验，修改ZeppelinServer端登陆模块，实现多租用户的独立认证、不同模块的无缝登陆认证。

5.根据权利要求1所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：在所述的任务自动化认证中，增加Kinit Shell脚本传入用户账号、密码完成Kerberos Kinit操作，新增Expect Shell脚本，实现租户自动化免密登陆，并调用KinitShell脚本进行Kerberos认证操作，最终提交任务到大数据平台系统。

6.根据权利要求1或2所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：所述的统一身份认证服务，其具体步骤如下：

第一步骤、LDAP的安装：更新LinuxOS源以及配置Epel源，安装openldap-servers服务端、openldap-clients客户端，采用数据库配置模式，导入Schema文件，定义管理员以及整个组织架构；

第二步骤、Kerberos的安装：设置集群时钟同步，安装krb5-server服务端，配置加密方式、域名、认证失效时间，创建Kberberos数据库和管理员账户，安装krb5-workstation客户端，使客户端通过服务端创建的principal票据进行Kerberos认证；

第三步骤、CA颁发机构创建：使用openssl服务创建CA认证，并生成用户证书，使LDAP用户都用各自的用户证书并且有可读权限；

第四步骤、SSSD的安装：安装SSSD服务，使用SSSD缓存用户信息，将配置好的CA用户证书拷贝到SSSD查找CA证书路径下，实现用户单点登录功能。

7.根据权利要求1或3所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：所述的多租用户创建与系统用户映射，其具体步骤如下：

第一步骤、多租用户创建：创建工业生产数据实时处理平台系统用户并且保存到数据库中，把已经创建的用户信息导入到LDAP中以供SSSD使用；

第二步骤、权限组创建：根据不同的项目、任务需求创建不同的项目组，把已经创建的用户分配到指定用户组中，创建任务所需对应的权限，同样把用户组信息导入到LDAP中以供SSSD使用；

第三步骤、大数据平台系统集群用户与组映射：获取多租用户元数据信息，根据用户信息使用分布式文件系统HDFS超级用户创建多租用户根目录，并且创建多租用户和多租用户所在组；

第四步骤、多租用户资源赋权：根据多租用户所在组所需权限把大数据平台系统相关组件权限进行赋权，实现工业生产数据实时处理平台系统权限与大数据平台系统权限相映射。

8.根据权利要求1或4所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：所述的Zeppelin登陆认证模块修改，其具体步骤如下：

第一步骤、Zeppelin开启LDAP用户认证：进入Zeppelin根目录Conf子目录中，修改shiro.ini文件，配置开启LADP服务，实现多租用户登陆功能；

第二步骤、增加Zeppelin独立认证功能：修改Zeppelin-Server模块，指定多租用户信息维护在数据库中，并且加密存储提供高可靠服务。

9.根据权利要求1或5所述的一种工业生产数据实时处理平台系统多租用户方法，其特征在于：所述的任务自动化认证，其具体步骤如下：

第一步骤、增加Kinit脚本：新增Kinit Shell脚本，指定传入参数为多租户户名、密码，完成Kerberos Kinit认证操作；

第一步骤、增加Expect脚本：新增Expect Shell脚本，实现多租用户su方式完成自动化的免密登陆，并且调用Kinit Shell脚本；

第三步骤、任务提交：租户完成以上步骤认证通过后，启动该租户对应组件解释器，实现组件服务监听，完成客户端提交的任务操作。

Images