1. дома
  2. Вопрос и ответ
  3. Ranger пользователь синхронизации с Kerberos

Ranger пользователь синхронизации с Kerberos

2017-02-16 19 views
1

У меня есть настройка Kerberos следующие ниже документа http://docs.hortonworks.com/HDPDocuments/Ambari-2.2.0.0/bk_Ambari_Security_Guide/content/ch_configuring_amb_hdp_for_kerberos.htmlRanger пользователь синхронизации с Kerberos

Кроме того, я хотел бы настроить рейнджер синхронизировать все принципалов Kerberos для создания ACLS. Существует возможность синхронизации пользователей с AD, но я не вижу возможности синхронизации с Kerberos. См. Параметры на изображении ниже enter image description here Может кто-нибудь может помочь с вариантами для этого. Спасибо

источник

2017-02-16 Mkt281001

+0

Есть либо слишком много возможных ответов, или хорошие ответы будут слишком долго для этого формата. Пожалуйста, добавьте детали, чтобы сузить набор ответов или изолировать проблему, на которую можно ответить в нескольких абзацах. См. [Ask]. –

+0

Какой тип «Kerberos» используется для аутентификации - AD, MIT Kerberos, сопоставленный с LDAP, MIT Kerberos автономно? И что вы используете для авторизации на уровне группы - группы Linux, группы LDAP, ничего? –

ответ

1

Я не уверен, что я понимаю, что именно вы хотите импортировать, но я предполагаю, что у вас есть AD и локальный кластер KDC, которые настроены с доверительными отношениями, и вы хотите, чтобы все ваши принципы были представлены в Ranger автономными учетными записями пользователей , Если у вас настроены доверенные отношения, это означает, что весь ваш список принципов будет состоять из локального KDC и AD, и все они будут действительны для аутентификации. Но в рейнджере вы работаете не с фактическими принципами Kerberos, а с именами пользователей, которые получены от настроек auth_to_local в соответствии с указанными там правилами сопоставления.

Если вы используете синхронизацию LDAP, она будет передавать все принципы соответствия с помощью набора правил в этом свойстве конфигурации и создаст учетную запись конечного пользователя с именами, полученными после выполнения этих правил. Вы можете проверить конечный результат с помощью:

hadoop org.apache.hadoop.security.HadoopKerberosName [email protected]

Для локального KDC это на самом деле не имеет смысла передавать принципы из KDC через этот этап отображения, как в конце концов все они будут отображаться на локальные учетные записи UNIX. Вот почему вы можете просто указать группе и файлам passwd в источнике синхронизации UNIX, и вы можете предположить, что все ваши локальные принципы Kerberos будут представлены в базе данных Ranger с надлежащими учетными записями пользователей.

Вы можете найти еще некоторые подробности о аспектах отображения Kerberos в этом article

источник

2017-02-17 13:02:48 Alex

+0

Спасибо, у меня нет AD, но только KDC с принципалами. Кроме того, мой вариант использования заключается в том, чтобы защитить Kafka, и в настоящее время я не могу найти способ синхронизации принципов Kerberos в рейнджере, если я не создаю локального пользователя на хосте для каждого принципала. Это правильный способ или есть способ определить auth_to_local для Kafka? – Mkt281001

+1

@ Mkt281001 Правильным способом было бы создание отдельных учетных записей Unix для каждой отдельной группы принципа Kerberos на каждом хосте. И тогда вы можете использовать Unix-синхронизацию, чтобы поддерживать их в актуальном состоянии в вашей Ranger DB. Итак, чтобы Kerberize Kafka вам нужно - 1) Создать принципы Kafka в вашем KDC 2) Создать локальную учетную запись Kafka на каждом узле. 3) Принцип карты для локальной учетной записи в auth_to_local. 4) Использовать модуль синхронизации для импорта локального пользователя в Ranger – Alex

+0

Спасибо @ Алекс имеет смысл. – Mkt281001

 Смежные вопросы

  • Нет связанных вопросов^_^