11.4.2　作业提交与运行

管理员需要在JobTracker和TaskTracker所在节点上为用户mapreduce添加Kerberos认证，这样，管理员以mapreduce身份启动JobTracker和TaskTracker，可避免非法JobTracker或者TaskTracker接入Hadoop集群。

一个应用程序从作业提交到运行涉及的安全认证如图11-3所示。整个过程涉及Kerberos认证及Delegation Token、Block Access Token、JobToken三种令牌。Kerberos认证、Delegation Token和Block Access Token的作用与11.4.1节中类似。JobToken创建于JobTracker端，并分发到各个TaskTracker以用于Task与TaskTracker之间的安全认证。

图　11-3　作业提交与运行过程中涉及的安全认证