Kerberos-Authentifizierung mit lokalem KDC und Active Directory-KDC konfigurieren

Das Big Data Service-Cluster stellt standardmäßig lokales MIT KDC bereit. Das Cluster kann auch für die Verwendung von Active Directory-KDC für Benutzer bereitgestellt werden, die zur Active Directory-Domäne gehören. Sie müssen auch Kreuzvertrauen zwischen den beiden Bereichen einrichten.

Ambari zur Verwendung von Active Directory-KDC aktualisieren

Öffnen Sie Apache Ambari.
Wählen Sie in der seitlichen Symbolleiste unter Clusteradministrator die Option Kerberos aus.
Wählen Sie die Registerkarte Configs, und blenden Sie den Abschnitt Advanced krb5-conf ein.

Ändern Sie das Feld krb5-conf-template wie folgt:

{#
# Licensed to the Apache Software Foundation (ASF) under one
# or more contributor license agreements.  See the NOTICE file
# distributed with this work for additional information
# regarding copyright ownership.  The ASF licenses this file
# to you under the Apache License, Version 2.0 (the
# "License"); you may not use this file except in compliance
# with the License.  You may obtain a copy of the License at
#
#   http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.
#}
[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = {{realm}}
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  #default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = {{encryption_types}}
  #default_tkt_enctypes = {{encryption_types}}
{% if domains %}
[domain_realm]
{%- for domain in domains.split(',') %}
  {{domain|trim()}} = {{realm}}
{%- endfor %}
{% endif %}
  example.oraclevcn.com = <ad-realm>
 
[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log
 
[realms]
  {{realm}} = {
{%- if master_kdc %}
    master_kdc = {{master_kdc|trim()}}
{%- endif -%}
{%- if kdc_hosts > 0 -%}
{%- set kdc_host_list = kdc_hosts.split(',')  -%}
{%- if kdc_host_list and kdc_host_list|length > 0 %}
    admin_server = {{admin_server_host|default(kdc_host_list[0]|trim(), True)}}
{%- if kdc_host_list -%}
{%- if master_kdc and (master_kdc not in kdc_host_list) %}
    kdc = {{master_kdc|trim()}}
{%- endif -%}
{% for kdc_host in kdc_host_list %}
    kdc = {{kdc_host|trim()}}
{%- endfor -%}
{% endif %}
{%- endif %}
{%- endif %}
  }
 
{# Append additional realm declarations below #}
  <ad-realm> = {
    admin_server = server-example.oraclevcn.com:749
    kdc = kdc-example.oraclevcn.com:88
    default_domain = domain-example.oraclevcn.com
  }
 
[capaths]
<ad-realm> = {
<your-local-realm> = .
}

Speichern Sie die Konfiguration, und starten Sie alle betroffenen Services neu.
Navigieren Sie zu HDFS > Configs > Advanced > Advanced core-site.

Nehmen Sie in den Parameter hadoop.security.auth_to_local Folgendes auf:

RULE:[1:$1@$0](.*@<ad-realm>)s/@.*//

Beispiel:

RULE:[2:$1@$0](yarn@EXAMPLE.ORACLE.COM)s/.*/yarn/
RULE:[2:$1@$0](yarn-ats-hbase@EXAMPLE.ORACLE.COM)s/.*/yarn-ats/
RULE:[1:$1@$0](.*@EXAMPLE.REALM)s/@.*//
DEFAULT

Realmübergreifende Vertrauenswürdigkeit zwischen Domains einrichten

Sie können eine unidirektionale Vertrauensstellung von einem lokalen Schlüsselverteilungscenter (Key Distribution Center, KDC) zur Active Directory-Realm in einem Kerberos-fähigen ODH-Cluster von Big Data Service einrichten.

Active Directory-Server konfigurieren

Um den bevorzugten Verschlüsselungstyp auf dem Active Directory-(AD-)Server festzulegen, öffnen Sie das Dialogfeld "Group Policy Management" (Start > Windows Administrative Tools Group Policy Management).
Navigieren Sie im Dialogfeld "Group Policy Management" zum Ordner Forest: <ad-realm> > Domains > <ad-realm>.
Klicken Sie mit der rechten Maustaste auf Default Domain Policy, und wählen Sie Bearbeiten aus.
Navigieren Sie im Group Policy Management Editor zu Sicherheitsoptionen, indem Sie Computerkonfiguration > Policys > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Policys > Sicherheitsoptionen einblenden.
Stellen Sie sicher, dass der Ordner "Security Options" ausgewählt ist, und doppelklicken Sie auf die Policy Network security: Configure encryption types allowed for Kerberos.
Konfigurieren Sie im Dialogfeld den für Kerberos zulässigen erforderlichen Verschlüsselungstyp. Es wird dringend empfohlen, den stärksten von Big Data Service unterstützten Verschlüsselungstyp (AES256_HMAC_SHA1) zu verwendet. Wählen Sie die Policy aus, und wählen Sie OK aus.

Legen Sie die Verschlüsselung in der Befehlszeile fest, indem Sie die Vertrauen der lokalen Realm zu Active Directory hinzufügen.

netdom trust <your-local-realm> /Domain:<ad-realm> /add /realm /passwordt:<trust-password>

Beispiel:

C:\Users\administrator> netdom trust EXAMPLE.ORACLE.COM /Domain:EXAMPLE.REALM /add /realm /passwordt:Welcome1
> The command completed successfully.

Legen Sie den richtigen Verschlüsselungstyp fest.

ksetup /SetEncTypeAttr <your-local-realm> <enc_type>

Der Parameter <enc_type> gibt die AES-, DES- oder RC4-Verschlüsselung an. Wählen Sie einen Wert aus der folgenden Tabelle:

Von der AD-Verschlüsselungs-Policy verwendete Verschlüsselungsbezeichnung	Von ksetup:setenctypeattr unterstützte Verschlüsselungsbezeichnung
DES_CBC_CRC	DES-CBC-CRC
DES_CBC_MD5	BESCHREIBUNG-CBC-MD5
RC4_HMAC_MD5	RC4-HMAC-MD5
AES128_HMAC_SHA1	AES128-CTS-HMAC-SHA1-96
AES256_HMAC_SHA1	AES256-CTS-HMAC-SHA1-96

Beispiel:

C:\Users\Administrator> ksetup /SetEncTypeAttr EXAMPLE.ORACLE.COM AES256-CTS-HMAC-SHA1-96
> Setting enctypes for domain EXAMPLE.ORACLE.COM to:AES256-CTS-HMAC-SHA1-96

Überprüfen Sie die Liste der festgelegten Verschlüsselungstypen.

ksetup /GetEncTypeAttr <your-local-realm>

Beispiel:

C:\Users\administrator> ksetup /GetEncTypeAttr EXAMPLE.ORACLE.COM
> Enctypes for domain EXAMPLE.ORACLE.COM: AES256-CTS-HMAC-SHA1-96

Master-MIT-KDC-Server konfigurieren

Führen Sie den folgenden Befehl als Root auf dem Master-KDC aus, das sich auf dem ersten Masterknoten (mn0) des Big Data Service-Clusters befindet.
```
kadmin.local
```

Fügen Sie den realm-übergreifenden Principal krbtgt hinzu.

kadmin.local: addprinc -e "<enc_type_list>" krbtgt/<your-local-realm>@<ad-realm>

Sie werden zur Eingabe eines Kennworts aufgefordert. Verwenden Sie das Kennwort, das Sie im netdom-Befehl auf dem Active Directory-Server verwendet haben.

Beispiel:

kadmin.local: addprinc -e "aes256-cts:normal" krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>
> WARNING: no policy specified for krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>; defaulting to no policy
> Enter password for principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>":
> Re-enter password for principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>":
> Principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>" created.

Hinweis

Für den Verschlüsselungstyp gilt in Big Data Service eine andere Benennungskonvention als auf dem Active Directory-Server. Beispiel: Wenn AES256-CTS-HMAC-SHA1-96 auf dem Active Directory-Server verwendet wird, ist der entsprechende Typ in Big Data Service aes256-cts:normal.

Oracle Cloud Infrastructure - Dokumentation

Kerberos-Authentifizierung mit lokalem KDC und Active Directory-KDC konfigurieren

Ambari zur Verwendung von Active Directory-KDC aktualisieren

Realmübergreifende Vertrauenswürdigkeit zwischen Domains einrichten

Active Directory-Server konfigurieren

Master-MIT-KDC-Server konfigurieren