数据安全防护有几个层面

边界安全

        网络防火墙负责的部分

认证

        kerberos负责的部分

授权

        识别用户是否有访问某个模块的权限

认证是kerberos负责的事情

1. 客户端请求认证服务器，希望得到访问服务端票据的票据

2.客户端拿到访问服务端票据的票据后，去访问票据授予服务器，希望得到访问服务端的票据

3.客户端拿到访问服务端的票据后就能正常访问服务端，得到客户端希望得到的数据

时序图如下

术语说明

realm 是领域，规定kerberos管理的范围，例如A部门下的组件通过本kerberos认证，B部门下的组件不行

principal,用于区分用户的身份，用户又分为普通用户和服务用户，例如

     普通用户不属于服务内部的一部分，比如外部访问受kerberos保护的服务，这个时候用到的就是普通用户

      服务用户是服务内部的一部分，例如hdfs下有datanode和namenode，namenode要访问datanode就需要作为一个服务用户去访问

principal 由三部分组成

        name: 用户名，自定义

        instance： 对name的进一步描述，一般是name所在的主机名

        realm： 领域，就是用户能访问的范围，不能服务内部全都可以访问