Глоссарий

Проверка наличия у пользователя достаточных прав для совершения некоторой операции.

Проверка подлинности данных пользователя, чтобы удостовериться, что он тот, за кого себя выдает. Например, ввод пароля, соответствующего ранее введенному имени пользователя. Обычно предшествует авторизации.

Система логирования и мониторинга, являющаяся компонентом Apache Ranger. Автоматически записывает и хранит информацию о каждой попытке доступа к ресурсу, защищенному Ranger.

Высокая доступность (High Availability, HA) — это технология, позволяющая компонентам сервиса переключаться на бэкап в случае выхода из строя основного хоста.

JSON-файл, на основе которого может быть автоматически сгенерирован файл топологии.

Экземпляр программного обеспечения, работающий на одном физическом или виртуальном сервере. В объектно-ориентированном программировании этим термином также называется объект класса.

Группа серверов и координирующего программного обеспечения, объединенных логически, способных обрабатывать одинаковые запросы и действовать как единый ресурс.

Структурированная служебная информация об используемых данных. Содержит характеристики, полезные для идентификации, поиска, оценки и управления.

Сервер, выступающий единой публичной точкой входа для клиентских запросов, которые затем перенаправляются на один или несколько серверов, защищенных данным обратным прокси.

ПО, позволяющее интегрировать сервис, для которого разработан плагин, с Ranger. Плагины позволяют Ranger Admin контролировать доступ к ресурсам сервиса посредством политик.

Набор правил, определяющих доступ к ресурсу внутри экосистемы Hadoop или другой системы, управляемой Ranger.

Сервер, выступающий промежуточным пунктом между клиентом и конечным сервером.

Особый тип цифрового сертификата, подписанный самим его субъектом. Технически такой сертификат ничем не отличается от сертификата, заверенного подписью удостоверяющего центра (УЦ), только вместо передачи на подпись в УЦ пользователь создает свою собственную сигнатуру. Проще говоря, создатель сертификата сам является в данном случае УЦ. Все корневые сертификаты доверенных УЦ являются самозаверенными.

Зашифрованные данные, хранящиеся в секретном движке, доступ к которым осуществляется с помощью пути.

Компонент хранилища, ответственный за генерацию секретов, их хранение, шифрование и управление ими.

Файл конфигурации, который определяет, какие кластерные сервисы доступны через прокси, как клиенты могут к ним обращаться и какие правила безопасности к ним применяются.

Устройство, подключенное к другим устройствам по сети. Имеет собственный IP-адрес и может обмениваться данными. Узлами могут быть компьютеры, мобильные телефоны, карманные компьютеры, а также специальные сетевые устройства (такие как маршрутизаторы, коммутаторы, концентраторы и так далее).

Математическая функция, которая принимает строку любой длины, а возвращает строку фиксированной длины, обычно состоящую из букв и цифр. Значение на выходе этой функции также называется хешем.

Компьютер или другое устройство, имеющее доступ к сети. Хост может выполнять функции сервера, предоставляя информацию о ресурсах, услугах и приложениях пользователям или другим хостам. Каждому хосту в сети присваивается как минимум один сетевой адрес.

Access-control list — список правил доступа к ресурсам системы.

Active Directory — служба каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась как LDAP-совместимая реализация службы каталогов. Однако начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.

Application programming interface — набор готовых классов, процедур, функций, структур данных и констант, предоставляемых приложением (библиотекой, службой) или операционной системой для использования во внешних программных продуктах.

Интерфейс командной строки — вид текстового пользовательского интерфейса, в котором инструкции компьютеру передаются путем набора текстовых команд с клавиатуры. Другие названия — консоль и терминал.

Domain Name System — распределенная иерархическая система для получения информации о компьютерах, доменах, службах и других ресурсах, доступных через интернет или по другим сетевым протоколам. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты и/или обслуживающих узлах для протоколов в домене.

Приложение, предназначенное для ответов на DNS-запросы по соответствующему протоколу. Также DNS-сервером могут называть хост, на котором запущено соответствующее приложение.

Компонент программного обеспечения, предназначенный для ограничения и фильтрации сетевого трафика.

Система управления идентификацией пользователей с открытым исходным кодом для сетей на базе Linux/UNIX. FreeIPA использует Fedora Linux, 389 Directory Server, MIT Kerberos, NTP, DNS, систему сертификатов DogTag, SSSD и другие компоненты с открытым исходным кодом. Основное назначение FreeIPA — предоставление функциональности, схожей с Active Directory.

Fully Qualified Domain Name — имя домена, не имеющее неоднозначностей в определении. Включает в себя имена всех родительских доменов иерархии DNS.

Сетевое устройство для передачи трафика между двумя сетями, которые обладают разными характеристиками, используют разные протоколы или технологии. Одним из популярных назначений использования сетевого шлюза является предоставление доступа из локальной сети (LAN) во внешнюю (Интернет).

Java KeyStore — защищенный паролем формат файла, используемый в экосистеме Java для хранения криптографических ключей и сертификатов.

Java Cryptography Extension KeyStore — защищенный паролем формат файла, используемый в экосистеме Java для безопасного хранения криптографических ключей и сертификатов. Более безопасный, чем JKS, а также позволяет хранить симметричные ключи шифрования.

Internet Protocol Address — уникальный сетевой адрес узла в компьютерной сети, построенной на основе стека протоколов IP.

Сервер аутентификации, главная функция которого — получение запроса, содержащего имя клиента, который запрашивает аутентификацию, и возвращение клиенту зашифрованного тикета на выдачу тикетов (TGT). Позднее пользователь может использовать этот TGT для дальнейших запросов. В большинстве реализаций Kerberos время жизни TGT составляет 8—​10 часов. После этого клиент должен снова запросить TGT у сервера аутентификации.

Key Distribution Center — сторонний механизм аутентификации, который используется пользователями и сервисами для аутентификации. Включает в себя 3 составляющие:

Файл, содержащий один или несколько принципалов и их ключи. Используется для аутентификации в инфраструктуре Kerberos и позволяет не вводить имена пользователей и пароли вручную.

Уникальное имя пользователя или службы.

Сеть Kerberos, которая включает KDC и несколько клиентов.

Ticket Granting Server — сервер для выдачи разрешений.

Ticket Granting Ticket — включает копию сеансового ключа, имя пользователя и срок действия тикета. TGT зашифрован с использованием собственного главного ключа KDC и может быть расшифрован только самой службой KDC.

Lightweight Directory Access Protocol — протокол, использующий TCP/IP и позволяющий выполнять операции аутентификации, поиска и сравнения, а также операции добавления, изменения или удаления записей.

Суперпользователь — специальная учетная запись в Unix-подобных системах, владелец которой имеет право выполнять все без исключения операции.

Secure Shell — сетевой протокол прикладного уровня, позволяющий осуществлять удаленное управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). По функционалу похож на протоколы Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая передаваемые пароли. SSH позволяет выбирать различные алгоритмы шифрования. Клиенты SSH и серверы SSH доступны для большинства сетевых операционных систем.

Secure Sockets Layer — криптографический протокол, который подразумевает безопасное соединение. Использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

Single sign-on — технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.

Substitute user and do — программа для системного администрирования UNIX-систем, позволяющая делегировать те или иные привилегированные ресурсы пользователям с ведением протокола работы. Основная идея — дать пользователям как можно меньше прав, при этом достаточных для решения поставленных задач.

Ranger User Synchronizer — система, позволяющая импортировать пользователей из внешних систем в Ranger.

Сервис с открытым исходным кодом для синхронизации и координации распределенных систем. В ADPS ZooKeeper используется для управления и реализации механизма service discovery.