如果您使用Kerberos來(lái)保護(hù)您的網(wǎng)絡(luò)環(huán)境，則可以使用Kerberos身份驗(yàn)證插件來(lái)保護(hù)Solr集群。

這允許Solr使用Kerberos服務(wù)主體和keytab文件來(lái)認(rèn)證ZooKeeper以及Solr群集的節(jié)點(diǎn)（如果適用）。Admin UI和所有客戶端（如SolrJ）的用戶在能夠使用UI或向Solr發(fā)送請(qǐng)求之前還需要擁有一個(gè)有效的票證。

在SolrCloud模式或獨(dú)立模式下支持Kerberos身份驗(yàn)證插件。

如果您將Solr與通過(guò)Kerberos保護(hù)的Hadoop集群一起使用，并打算將您的Solr索引存儲(chǔ)在HDFS中，請(qǐng)參閱HDFS上運(yùn)行Solr部分，以獲取為此目的配置Solr的其他步驟。本頁(yè)面上的說(shuō)明僅適用于使用Kerberos保護(hù)Solr的情況。如果您只需要將索引存儲(chǔ)在Kerberized HDFS系統(tǒng)中，請(qǐng)參閱上面的其他部分。

Solr如何與Kerberos一起使用

當(dāng)設(shè)置Solr以使用Kerberos時(shí)，Solr將使用服務(wù)主體或在密鑰分發(fā)中心（KDC）注冊(cè)的Kerberos用戶名進(jìn)行配置，以對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證。這些配置定義了服務(wù)主體名稱和包含憑證的 keytab 文件的位置。

security.json

Solr 身份驗(yàn)證模型使用名為security.json的文件。此文件的說(shuō)明以及創(chuàng)建和維護(hù)的方式都包含在身份驗(yàn)證和授權(quán)插件部分。如果此文件是在 Solr 初始啟動(dòng)后創(chuàng)建的，則需要重新啟動(dòng)系統(tǒng)的每個(gè)節(jié)點(diǎn)。

服務(wù)主體和Keytab文件

每個(gè)Solr節(jié)點(diǎn)必須具有在密鑰分發(fā)中心（KDC）注冊(cè)的服務(wù)主體。Kerberos插件使用SPNego來(lái)協(xié)商身份驗(yàn)證。

使用HTTP/host1@YOUR-DOMAIN.ORG，作為服務(wù)主體的一個(gè)例子：

• HTTP 指示這個(gè)服務(wù)主體將用于身份驗(yàn)證的請(qǐng)求的類型。服務(wù)主體中的HTTP/是 SPNego 在通過(guò) http 對(duì) Solr 的請(qǐng)求時(shí)必須使用的。
• host1 是托管Solr節(jié)點(diǎn)的計(jì)算機(jī)的主機(jī)名。
• YOUR-DOMAIN.ORG 是組織范圍內(nèi)的Kerberos領(lǐng)域。

同一主機(jī)上的多個(gè)Solr節(jié)點(diǎn)可能具有相同的服務(wù)主體，因?yàn)橹鳈C(jī)名對(duì)于所有主機(jī)都是通用的。

與服務(wù)主體一起，每個(gè)Solr節(jié)點(diǎn)都需要一個(gè)keytab文件，該文件應(yīng)包含所使用的服務(wù)主體的憑證。keytab 文件包含加密的憑據(jù)，以便在從KDC獲取Kerberos票據(jù)時(shí)支持無(wú)密碼登錄。對(duì)于每個(gè)Solr節(jié)點(diǎn)，keytab 文件應(yīng)保存在安全的位置，而不是與群集的用戶共享。

由于Solr群集需要節(jié)點(diǎn)間通信，因此每個(gè)節(jié)點(diǎn)還必須能夠向其他節(jié)點(diǎn)啟用Kerberos啟用的請(qǐng)求。默認(rèn)情況下，Solr使用相同的服務(wù)主體和keytab作為節(jié)點(diǎn)間通信的“客戶端主體”。您可以明確地配置一個(gè)不同的客戶端主體，但不建議這樣做，下面的示例中沒(méi)有涉及。

Kerberized ZooKeeper

在設(shè)置Kerberos SolrCloud集群時(shí)，建議同時(shí)啟用ZooKeeper的Kerberos安全性。

在這樣的設(shè)置中，使用ZooKeeper身份驗(yàn)證請(qǐng)求的客戶端主體也可以用于節(jié)點(diǎn)間通信。由于Solr使用的Zookeeper客戶端負(fù)責(zé)這個(gè)操作，因此不需要分別續(xù)訂票證授予票證（TGT）。為了達(dá)到這個(gè)目的，一個(gè)JAAS配置（應(yīng)用程序名稱為Client）可用于Kerberos插件以及Zookeeper客戶端。

有關(guān)在Kerberos模式下啟動(dòng)ZooKeeper的示例，請(qǐng)參見下面的ZooKeeper配置部分。

瀏覽器配置

為了讓您的瀏覽器在啟用Kerberos身份驗(yàn)證后訪問(wèn)Solr管理用戶界面，它必須能夠與Kerberos身份驗(yàn)證器服務(wù)進(jìn)行協(xié)商以允許您訪問(wèn)。每個(gè)瀏覽器都支持這種方式，有些（如Chrome）完全不支持。如果在啟用Kerberos身份驗(yàn)證后嘗試訪問(wèn)Solr管理用戶界面時(shí)看到401錯(cuò)誤，則可能是您的瀏覽器未正確配置，無(wú)法知道如何或在何處協(xié)商身份驗(yàn)證請(qǐng)求。

有關(guān)如何設(shè)置瀏覽器的詳細(xì)信息超出了本文檔的范圍。有關(guān)如何配置瀏覽器的詳細(xì)信息，請(qǐng)與系統(tǒng)管理員聯(lián)系以了解 Kerberos。

Kerberos身份驗(yàn)證配置

請(qǐng)咨詢您的 Kerberos 管理員：在嘗試將 Solr 配置為使用 kerberos 身份驗(yàn)證之前，請(qǐng)查看下面列出的每個(gè)步驟，并咨詢您的本地Kerberos管理員的每個(gè)詳細(xì)信息，以確保您知道每個(gè)參數(shù)的正確值。小錯(cuò)誤可能會(huì)導(dǎo)致Solr無(wú)法啟動(dòng)或無(wú)法正常工作，并且非常難以診斷。

Kerberos插件的配置有幾個(gè)部分：

• 創(chuàng)建服務(wù)主體和 keytab 文件
• ZooKeeper配置
• 創(chuàng)建或更新 /security.json
• 定義 jaas-client.conf
• Solr啟動(dòng)參數(shù)

在之后的內(nèi)容中我們會(huì)使用到這些步驟。

注意：使用主機(jī)名；要使用主機(jī)名而不是 IP 地址, 請(qǐng)使用 bin/solr.in.sh 中的 SOLR_HOST 配置或在 solr 啟動(dòng)期間通過(guò) -Dhost=<hostname> 系統(tǒng)參數(shù)。本指南使用 IP 地址。如果指定了主機(jī)名，請(qǐng)根據(jù)需要將指南中的所有IP地址替換為Solr主機(jī)名。

獲取服務(wù)主體和Keytabs

在配置Solr之前，請(qǐng)確保您擁有KDC服務(wù)器中每個(gè)Solr主機(jī)和ZooKeeper的Kerberos服務(wù)主體（如果ZooKeeper尚未配置），并生成一個(gè)keytab文件，如下所示。

這個(gè)例子假定主機(jī)名是192.168.0.107，并且您的主目錄是/home/foo/。這個(gè)例子應(yīng)該根據(jù)您自己的環(huán)境進(jìn)行修改。

root@kdc:/# kadmin.local
Authenticating as principal foo/admin@EXAMPLE.COM with password.

kadmin.local:  addprinc HTTP/192.168.0.107
WARNING: no policy specified for HTTP/192.168.0.107@EXAMPLE.COM; defaulting to no policy
Enter password for principal "HTTP/192.168.0.107@EXAMPLE.COM":
Re-enter password for principal "HTTP/192.168.0.107@EXAMPLE.COM":
Principal "HTTP/192.168.0.107@EXAMPLE.COM" created.

kadmin.local:  ktadd -k /tmp/107.keytab HTTP/192.168.0.107
Entry for principal HTTP/192.168.0.107 with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/tmp/107.keytab.
Entry for principal HTTP/192.168.0.107 with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/tmp/107.keytab.
Entry for principal HTTP/192.168.0.107 with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/tmp/108.keytab.
Entry for principal HTTP/192.168.0.107 with kvno 2, encryption type des-cbc-crc added to keytab WRFILE:/tmp/107.keytab.

kadmin.local:  quit

將 keytab 文件從KDC服務(wù)器的/tmp/107.keytab位置復(fù)制到位于的Solr主機(jī)/keytabs/107.keytab。對(duì)每個(gè)Solr節(jié)點(diǎn)重復(fù)此步驟。

您可能需要采取類似的步驟來(lái)創(chuàng)建ZooKeeper服務(wù)主體和 keytab（如果尚未設(shè)置）。在這種情況下，下面的例子顯示了ZooKeeper的一個(gè)不同的服務(wù)主體，因此上述可能會(huì)以 zookeeper/host1 作為其中一個(gè)節(jié)點(diǎn)的服務(wù)主體來(lái)重復(fù)。

ZooKeeper配置

如果您正在使用的ZooKeeper已配置為使用 Kerberos，則可以跳過(guò)此處顯示的與ZooKeeper相關(guān)的步驟。

由于ZooKeeper管理SolrCloud集群中節(jié)點(diǎn)之間的通信，因此它還必須能夠與集群中的每個(gè)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證。配置需要為ZooKeeper設(shè)置一個(gè)服務(wù)主體，定義一個(gè)JAAS配置文件并指示ZooKeeper使用這兩個(gè)項(xiàng)目。

第一步是在ZooKeeper的conf目錄下創(chuàng)建一個(gè)java.env文件并添加以下內(nèi)容，如下例所示：

export JVMFLAGS="-Djava.security.auth.login.config=/etc/zookeeper/conf/jaas-client.conf"

JAAS配置文件應(yīng)包含以下參數(shù)。務(wù)必根據(jù)需要更改principal和keyTab路徑。該文件必須位于上述步驟中定義的路徑中，指定文件名。

Server {
 com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/keytabs/zkhost1.keytab"
  storeKey=true
  doNotPrompt=true
  useTicketCache=false
  debug=true
  principal="zookeeper/host1@EXAMPLE.COM";
};

最后，將以下行添加到ZooKeeper的配置文件zoo.cfg中：

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

一旦所有部分都到位，使用以下參數(shù)指向JAAS配置文件來(lái)啟動(dòng)ZooKeeper：

bin/zkServer.sh start -Djava.security.auth.login.config=/etc/zookeeper/conf/jaas-client.conf

創(chuàng)建security.json

創(chuàng)建security.json文件，在SolrCloud模式下，您可以通過(guò)在創(chuàng)建ZooKeeper時(shí)上傳security.json來(lái)將Solr設(shè)置為使用Kerberos插件，如下所示：

server/scripts/cloud-scripts/zkcli.sh -zkhost localhost:2181 -cmd put /security.json '{"authentication":{"class": "org.apache.solr.security.KerberosPlugin"}}'

如果您在獨(dú)立模式下使用Solr，則需要?jiǎng)?chuàng)建該security.json文件并將其放入您的$SOLR_HOME目錄中。

有關(guān)如何在Solr中使用/security.json文件的更多詳細(xì)信息，請(qǐng)參見“身份驗(yàn)證和授權(quán)插件”部分。

如果在ZooKeeper中已經(jīng)有了/security.json文件，請(qǐng)下載該文件，添加或修改身份驗(yàn)證部分，然后使用 Solr 中提供的命令行實(shí)用程序?qū)⑵渖蟼骰豘ooKeeper。

定義一個(gè)JAAS配置文件

JAAS配置文件定義用于身份驗(yàn)證的屬性，如服務(wù)主體和 keytab 文件的位置。還可以設(shè)置其他屬性以確保票據(jù)緩存和其他功能。

以下示例可以根據(jù)您的環(huán)境稍微復(fù)制和修改。文件的位置可以在服務(wù)器上的任何位置，但在啟動(dòng)Solr時(shí)會(huì)被引用，因此它必須在文件系統(tǒng)上是可讀的。JAAS文件可能包含不同用戶的多個(gè)部分，但每個(gè)部分必須具有唯一的名稱，以便在每個(gè)應(yīng)用程序中唯一地引用它。

在下面的例子中，我們創(chuàng)建了一個(gè) JAAS 配置文件，其名稱和路徑為/home/foo/jaas-client.conf。我們將在下一節(jié)定義Solr start 參數(shù)時(shí)使用這個(gè)名稱和路徑。請(qǐng)注意，這里的客戶端主體與服務(wù)主體相同。這將用于驗(yàn)證節(jié)點(diǎn)間的請(qǐng)求和請(qǐng)求到ZooKeeper。請(qǐng)確保使用正確的主體主機(jī)名和 keyTab 文件路徑。

Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/keytabs/107.keytab"
  storeKey=true
  useTicketCache=true
  debug=true
  principal="HTTP/192.168.0.107@EXAMPLE.COM";
};

這個(gè)文件的第一行定義了節(jié)名稱，它將與下面定義的solr.kerberos.jaas.appname參數(shù)一起使用。

我們關(guān)注的主要屬性是keyTab和principal屬性，但也有其他可能需要為您的環(huán)境。Krb5LoginModule 的 javadoc（正在使用的類在上面的第二行中被調(diào)用）提供了可用屬性的一個(gè)很好的概要，但是對(duì)于在上面的例子中使用的參考來(lái)說(shuō)，這里解釋如下：

• useKeyTab：這個(gè)布爾屬性定義了我們是否應(yīng)該使用一個(gè)keytab文件（在這種情況下是true）。
• keyTab：JAAS配置文件的此部分用于主體的keytab文件的位置和名稱。路徑應(yīng)該用雙引號(hào)括起來(lái)。
• storeKey：這個(gè)布爾屬性允許密鑰存儲(chǔ)在用戶的私人憑證中。
• useTicketCache：該布爾屬性允許從票證緩存中獲取票證。
• debug：此布爾屬性將輸出調(diào)試消息，以幫助進(jìn)行疑難解答。
• principal：要使用的服務(wù)主體的名稱。

Solr啟動(dòng)參數(shù)

在啟動(dòng)Solr時(shí)，需要傳遞以下特定于主機(jī)的參數(shù)。這些參數(shù)可以通過(guò)bin/solr啟動(dòng)命令在命令行中傳遞（請(qǐng)參閱“Solr控制腳本參考”以了解如何傳遞系統(tǒng)參數(shù)的詳細(xì)信息），也可以在bin/solr.in.sh或者bin/solr.in.cmd中根據(jù)您的操作系統(tǒng)進(jìn)行相應(yīng)的定義。

solr.kerberos.name.rules

用于將Kerberos主體映射到短名稱。默認(rèn)值是DEFAULT。名稱規(guī)則的例子：RULE:[1:$1@$0](.*EXAMPLE.COM)s/@.*//。

solr.kerberos.cookie.domain

用于發(fā)出cookie，并應(yīng)具有Solr節(jié)點(diǎn)的主機(jī)名。該參數(shù)是必需的。

solr.kerberos.cookie.portaware

設(shè)置為true時(shí)，Cookie根據(jù)主機(jī)和端口進(jìn)行區(qū)分，而標(biāo)準(zhǔn)Cookie不是端口可識(shí)別的。如果在同一個(gè)主機(jī)上托管多個(gè)Solr節(jié)點(diǎn)，應(yīng)該設(shè)置此項(xiàng)。默認(rèn)是false。

solr.kerberos.principal

服務(wù)主體。該參數(shù)是必需的。

solr.kerberos.keytab

包含服務(wù)主體憑證的Keytab文件路徑。該參數(shù)是必需的。

solr.kerberos.jaas.appname

節(jié)點(diǎn)間通信所需的JAAS配置文件中的應(yīng)用程序名稱（節(jié)名稱）。默認(rèn)值是Client，也用于ZooKeeper身份驗(yàn)證。如果ZooKeeper和Solr使用不同的用戶，那么他們將需要在JAAS配置文件中有單獨(dú)的部分。

java.security.auth.login.config

用于配置Solr客戶端以進(jìn)行節(jié)點(diǎn)間通信的JAAS配置文件的路徑。該參數(shù)是必需的。

這是一個(gè)可以添加到bin/solr.in.sh的例子。確保將此示例更改為使用正確的主機(jī)名和keytab文件路徑。

SOLR_AUTH_TYPE="kerberos"
SOLR_AUTHENTICATION_OPTS="-Djava.security.auth.login.config=/home/foo/jaas-client.conf -Dsolr.kerberos.cookie.domain=192.168.0.107 -Dsolr.kerberos.cookie.portaware=true -Dsolr.kerberos.principal=HTTP/192.168.0.107@EXAMPLE.COM -Dsolr.kerberos.keytab=/keytabs/107.keytab"

具有 AES-256 加密的 KDC

如果您的KDC使用AES-256加密，則在Kerberized Solr可以與KDC交互之前，您需要將Java Cryptography Extension（JCE）無(wú)限制強(qiáng)制管轄權(quán)策略文件添加到您的JRE。

當(dāng)您在Solr日志中看到如下錯(cuò)誤時(shí)，您將會(huì)知道這一點(diǎn)：“KrbException：帶有HMAC SHA1-96的加密類型AES256 CTS模式不支持/啟用”

對(duì)于Java 1.8，可以在這里找到：http : //www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html。

將 JAVA_HOME/jre/lib/security/ 與新的 local_policy. jar 一起替換為已下載包中的 local_policy，然后重新啟動(dòng)Solr節(jié)點(diǎn)。

使用委托令牌

Kerberos插件可以配置為使用委托令牌，允許應(yīng)用程序重復(fù)使用最終用戶或其他應(yīng)用程序的身份驗(yàn)證。

對(duì)于 Solr，有幾個(gè)用例可能會(huì)有幫助：

• 使用分布式客戶端（如MapReduce），其中每個(gè)客戶端可能無(wú)法訪問(wèn)用戶的憑據(jù)。
• 當(dāng) Kerberos 服務(wù)器上的負(fù)載很高時(shí)。委托令牌可以減少負(fù)載，因?yàn)樗鼈冊(cè)诘谝淮握?qǐng)求后不訪問(wèn)服務(wù)器。
• 如果需要將請(qǐng)求或權(quán)限委派給其他用戶。

要啟用委托令牌，必須定義幾個(gè)參數(shù)。這些參數(shù)可以通過(guò)bin/solr啟動(dòng)命令在命令行中傳遞（請(qǐng)參閱“Solr控制腳本參考”以了解如何傳遞系統(tǒng)參數(shù)的詳細(xì)信息），也可以在bin/solr.in.sh或者bin/solr.in.cmd中根據(jù)您的操作系統(tǒng)進(jìn)行相應(yīng)的定義。

solr.kerberos.delegation.token.enabled

默認(rèn)情況下為false，設(shè)置為true時(shí)啟用委派令牌。如果要啟用令牌，則此參數(shù)是必需的。

solr.kerberos.delegation.token.kind

代表令牌的類型。默認(rèn)為solr-dt?？赡苓@不需要改變。目前沒(méi)有其他選項(xiàng)可用。

solr.kerberos.delegation.token.validity

代表令牌的有效時(shí)間，以秒為單位。默認(rèn)值是36000秒。

solr.kerberos.delegation.token.signer.secret.provider

代表令牌信息存儲(chǔ)在內(nèi)部。默認(rèn)值是zookeeper，必須是授權(quán)令牌在Solr服務(wù)器上工作的位置（在SolrCloud模式下運(yùn)行時(shí)）。目前沒(méi)有其他選項(xiàng)可用。

solr.kerberos.delegation.token.signer.secret.provider.zookeper.path

秘密提供者信息所在的ZooKeeper路徑。這是路徑+ /安全/令牌的形式。路徑可以包含chroot，如果您不使用chroot，則可以省略chroot。這個(gè)例子包括在chroot： server1:9983,server2:9983,server3:9983/solr/security/token。

solr.kerberos.delegation.token.secret.manager.znode.working.path

存儲(chǔ)令牌信息的ZooKeeper路徑。這是路徑+ / security / zkdtsm的形式。路徑可以包含chroot，如果您不使用chroot，則可以省略chroot。這個(gè)例子包括在chroot： server1:9983,server2:9983,server3:9983/solr/security/zkdtsm。

啟動(dòng)Solr

配置完成后，可以使用bin/solr腳本啟動(dòng)Solr ，如下面的示例所示，僅適用于SolrCloud模式的用戶。這個(gè)例子假設(shè)你修改了bin/solr.in.sh或者bin/solr.in.cmd是正確的值，但是如果你沒(méi)有修改的話，你可以把系統(tǒng)參數(shù)和start命令一起傳遞。請(qǐng)注意，您還需要根據(jù)您的ZooKeeper節(jié)點(diǎn)的位置自定義該-z屬性。

bin/solr -c -z server1:2181,server2:2181,server3:2181/solr

測(cè)試配置

1. 用你的用戶名做一個(gè) kinit。例如：kinit user@EXAMPLE.COM。
2. 嘗試使用curl訪問(wèn)Solr。你應(yīng)該得到一個(gè)成功的回應(yīng)：

   curl --negotiate -u : "http://192.168.0.107:8983/solr/"

使用SolrJ與Kerberized Solr

要在SolrJ應(yīng)用程序中使用Kerberos身份驗(yàn)證，在創(chuàng)建SolrClient之前，需要以下兩行代碼：

System.setProperty("java.security.auth.login.config", "/home/foo/jaas-client.conf");
HttpClientUtil.setConfigurer(new Krb5HttpClientConfigurer());

您需要為客戶端指定一個(gè)Kerberos服務(wù)主體，并在上面的JAAS客戶端配置文件中指定相應(yīng)的keytab。這個(gè)負(fù)責(zé)人應(yīng)該與我們?yōu)镾olr創(chuàng)建的服務(wù)負(fù)責(zé)人不同。

這是一個(gè)例子：

SolrJClient {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/keytabs/foo.keytab"
  storeKey=true
  useTicketCache=true
  debug=true
  principal="solrclient@EXAMPLE.COM";
};

帶SolrJ的委托令牌

SolrJ也支持授權(quán)令牌，方法如下：

• DelegationTokenRequest 和 DelegationTokenResponse 可以用來(lái)獲取、取消和續(xù)訂委托令牌。
• HttpSolrClient.Builder包括一個(gè) withDelegationToken，用于創(chuàng)建使用委托令牌進(jìn)行認(rèn)證的HttpSolrClient 的函數(shù)。

獲取授權(quán)令牌的示例代碼：

private String getDelegationToken(final String renewer, final String user, HttpSolrClient solrClient) throws Exception {
    DelegationTokenRequest.Get get = new DelegationTokenRequest.Get(renewer) {
      @Override
      public SolrParams getParams() {
        ModifiableSolrParams params = new ModifiableSolrParams(super.getParams());
        params.set("user", user);
        return params;
      }
    };
    DelegationTokenResponse.Get getResponse = get.process(solrClient);
    return getResponse.getDelegationToken();
  }

創(chuàng)建使用委派令牌的 HttpSolrClient：

HttpSolrClient client = new HttpSolrClient.Builder("http://localhost:8983/solr").withDelegationToken(token).build();

創(chuàng)建使用委派令牌的 CloudSolrClient

CloudSolrClient client = new CloudSolrClient.Builder()
                .withZkHost("http://localhost:2181")
                .withLBHttpSolrClientBuilder(new LBHttpSolrClient.Builder()
                    .withResponseParser(client.getParser())
                    .withHttpSolrClientBuilder(
                        new HttpSolrClient.Builder()
                            .withKerberosDelegationToken(token)
                    ))
                        .build();

Hadoop 的委托令牌響應(yīng)采用 JSON 映射格式。DelegationTokenResponse 中提供了一個(gè)響應(yīng)分析器。其他響應(yīng)解析器可能無(wú)法很好地處理 Hadoop 響應(yīng)。