Oracle Cloud Infrastructure - Dokumentation

Kerberos-Authentifizierung für Active Directory konfigurieren

Konfigurieren Sie die Kerberos-Authentifizierung für Active Directory in Big Data Service-Clustern.

Voraussetzungen

Bevor Sie ein Active Directory als KDC für das ODH-Cluster konfigurieren, müssen die folgenden Voraussetzungen erfüllt sein:

  • Der ODH-Clusterhost muss über Netzwerkzugriff auf die DNS-Namen der Domaincontroller verfügen und diese auflösen können.
  • Sichere LDAP- oder LDAPS-Konnektivität für Active Directory wurde konfiguriert.
  • Active Directory-Bind-Benutzer und Bind-Kennwort.

Folgendes ist für die Konfiguration der Kerberos-Authentifizierung nur mit der Active Directory-Lösung erforderlich.

  • Der Active Directory-Benutzercontainer für die Serviceprinzipien wurde erstellt und ist verfügbar. Beispiel: OU=Hadoop,OU=People,DC=apache,DC=org. Active Directory-Administrationszugangsdaten mit delegierter Kontrolle zum Erstellen, Löschen und Verwalten von Benutzerkonten im Benutzercontainer sind verfügbar.

Active Directory-Zertifikat importieren

Die Zertifikatskette muss in das Big Data Service-Cluster importiert werden, um verschiedene Konfigurationseinstellungen zu aktualisieren. Beispiel: Die entsprechende .crt-Datei, Keystore usw., die von einzelnen Services verwendet werden. Beispiel: Hue, Ranger und Ambari.
  1. Melden Sie sich beim ersten Masterknoten (mn0) des Big Data Service-Clusters an.
  2. Rufen Sie die LDAP-Zertifikatskette vom Active Directory-Administrator ab, und speichern Sie sie in der Datei. Beispiel: /<path>/<manually_obtained_certifcate_chain>.crt.
  3. Validieren Sie in Big Data Service 3.0.27 oder höher die Zertifikatskette, um die LDAP-URL zu verbinden. Andernfalls überspringen Sie diesen Schritt. 
    sudo bds_cert_util -ot validateURLConnection -url <ldap_fqdn>:<port> -ca /<path>/<manually_obtained_certifcate_chain>.crt
  4. Bearbeiten Sie die Datei /home/opc/cloud/flask-microservice/cert_util/conf/bds-certs.conf wie folgt:
    1. Setzen Sie CUSTOM_CERTIFICATE auf "True".
    2. Setzen Sie ROOT_CERT_PATH auf /<path>/<manually_obtained_certifcate_chain>.crt.
      Hinweis

      Der Pfad des manuell abgerufenen Zertifikats darf nicht mit einem der folgenden Werte in Konflikt stehen.
      • Wird vor dem Anwenden des Zertifikats TEMP_CERT_PATH=/etc/security/serverKeys_new #Initital certificate generation path verwendet.
      • Wird nur beim Generieren selbstsignierter Zertifikate verwendet CERT_GEN_FOLDER=/etc/security/serverKeys_cert_gen

      Standardmäßig wird CERT_PATH=/etc/security/serverKeys #Temporary certificate directory verwendet. Wenn Sie jedoch den Root-Zertifikatpfad anpassen, müssen Sie einen anderen Pfad verwenden.

    3. Speichern Sie die Änderungen.
  5. Führen Sie den folgenden Befehl aus:
    sudo bds_cert_util --enable
  6. Melden Sie sich bei Apache Ambari an, und starten Sie dann alle erforderlichen Services neu.

Zertifikat manuell aus Active Directory abrufen (Windows)

  1. Melden Sie sich beim Active Directory-Server an.
  2. Führen Sie mmc aus.
  3. Wählen Sie Datei, Snapin hinzufügen/entfernen aus.
  4. Wählen Sie Zertifikate, Serviceaccount aus.
  5. Wählen Sie Weiter.
  6. Wählen Sie Lokaler Computer, Weiter aus.
  7. Wählen Sie Active Directory-Domainservices, OK aus.
  8. So suchen Sie das Zertifikat, das dem Root-Zertifikat entspricht:
    1. Wählen Sie Zertifikat - Service (Active Directory Domain Services) auf lokalem Computer aus.
    2. Wählen Sie NTDS\Personal.
    3. Wählen Sie Zertifikate aus.

      Um das Zertifikat zu suchen, sind Ausgegeben an und Ausgegeben von für das Zertifikat identisch.

  9. Exportieren Sie das Zertifikat aus dem vorherigen Schritt:
    1. Klicken Sie mit der rechten Maustaste auf die Zeile mit dem Stammzertifikat.
    2. Wählen Sie Alle Aufgaben, Exportieren aus.
      Der Zertifikatexportassistent wird geöffnet.
    3. Wählen Sie Weiter.
    4. Wählen Sie Base-64-codierte X.509 als Dateiformat aus.
    5. Wählen Sie Next (Weiter), und geben Sie den Namen der Datei ein.
    6. Wählen Sie Fertig.
  10. Die im vorherigen Schritt erstellte Datei .cer kann in Textpad geöffnet werden, um den codierten Basis-64-Zertifikatsinhalt zu kopieren. Sie können auch die Datei .cer selbst kopieren.

Kerberos-Token bereinigen

  1. Melden Sie sich beim ersten primären Knoten (mn0) des Big Data Service-Clusters an.
  2. Um sicherzustellen, dass keine veralteten Kerberos-Token vorhanden sind, führen Sie Folgendes aus:

    sudo dcli -C "rm -rf /tmp/krb5cc*"