Я не уверен, что я понимаю, что именно вы хотите импортировать, но я предполагаю, что у вас есть AD и локальный кластер KDC, которые настроены с доверительными отношениями, и вы хотите, чтобы все ваши принципы были представлены в Ranger автономными учетными записями пользователей , Если у вас настроены доверенные отношения, это означает, что весь ваш список принципов будет состоять из локального KDC и AD, и все они будут действительны для аутентификации. Но в рейнджере вы работаете не с фактическими принципами Kerberos, а с именами пользователей, которые получены от настроек auth_to_local в соответствии с указанными там правилами сопоставления.
Если вы используете синхронизацию LDAP, она будет передавать все принципы соответствия с помощью набора правил в этом свойстве конфигурации и создаст учетную запись конечного пользователя с именами, полученными после выполнения этих правил. Вы можете проверить конечный результат с помощью:
hadoop org.apache.hadoop.security.HadoopKerberosName [email protected]
Для локального KDC это на самом деле не имеет смысла передавать принципы из KDC через этот этап отображения, как в конце концов все они будут отображаться на локальные учетные записи UNIX. Вот почему вы можете просто указать группе и файлам passwd в источнике синхронизации UNIX, и вы можете предположить, что все ваши локальные принципы Kerberos будут представлены в базе данных Ranger с надлежащими учетными записями пользователей.
Вы можете найти еще некоторые подробности о аспектах отображения Kerberos в этом article
Есть либо слишком много возможных ответов, или хорошие ответы будут слишком долго для этого формата. Пожалуйста, добавьте детали, чтобы сузить набор ответов или изолировать проблему, на которую можно ответить в нескольких абзацах. См. [Ask]. –
Какой тип «Kerberos» используется для аутентификации - AD, MIT Kerberos, сопоставленный с LDAP, MIT Kerberos автономно? И что вы используете для авторизации на уровне группы - группы Linux, группы LDAP, ничего? –