Autenticação de balanceamento de carga TCP

1

Impala é uma parte do software Cloudera que implementa um driver ODBC em um desktop, que se conecta diretamente a um cluster do Hadoop. Em nossa implementação, nosso cluster do Hadoop fica atrás de um DMZ, no qual estamos destinados a fazer proxy nas conexões com autenticação.

Existe uma solução de proxy que permita isso?

O protocolo TCP não é HTTP, então não posso fazer um desafio de autenticação básico como implementado pela maioria dos proxies e Apache como um proxy reverso, etc.

Eu olhei para o HAProxy, e parece que eu poderia ser capaz de criar um "config". Eu configuraria com dois listeners, um para HTTP e outro para TCP. O proxy HTTP poderia "empurrar" uma conexão para uma tabela de aderência baseada em IP e autenticar o usuário. Eu precisaria de um serviço HTTP em cada servidor de cluster (que está lá como parte do Hadoop). O proxy TCP seria configurado com um primeiro servidor "fictício" com um peso de 100 e, em seguida, os nós do cluster com um peso de zero cada. Assim, espero, os usuários serão direcionados para o servidor fictício se eles tentarem se conectar, mas serão direcionados para um servidor real com balanceamento de carga se eles primeiro acertarem o proxy HTTP e se autenticarem.

{Diagrama iria aqui se eu tivesse reputação suficiente}

O drama com isso, além do fato de eu não saber se vai funcionar ou não, é que o login / senha é codificado (embora com uma senha criptografada) no script de configuração HAProxy. Pior ainda, o HAProxy tem que ser devolvido para uma mudança de senha para entrar em vigor. Eu tenho mais de 1.000 usuários que forçaram redefinições de senha a cada poucas semanas, então posso esperar uma solicitação de redefinição de senha provavelmente diariamente do esquecimento.

Então, alguma ideia? Eu sei de muitos proxies HTTP com integração LDAP (Apache, Squid etc), mas naturalmente eles são todos apenas HTTP. Até agora, o único proxy de software que vi com qualquer autenticação é o HAProxy, mas não é bom o suficiente para nós.

Dado que o Apache é Open Source, e o HAProxy é open source, e ambos rodam no Linux, quão difícil seria obter um wrapper HAProxy para a biblioteca mod_ldap? Quero dizer, insira a descrição do link aqui

    
por user2858556 06.03.2014 / 04:24

0 respostas