Oracle Cloud Infrastructure - Dokumentation

Kerberos-Authentifizierung nur mit Active Directory-KDC konfigurieren (empfohlen)

Kerberos-Authentifizierung nur mit Active Directory-KDC für Big Data Service konfigurieren.

Das Big Data Service-Cluster stellt standardmäßig lokales MIT KDC bereit. Mit dem Kerberos-Assistenten können Sie KDC deaktivieren und das Active Directory-KDC aktivieren.

Kerberos mit vorhandenem Active Directory aktivieren

Aktivieren Sie Kerberos mit vorhandenem Active Directory in einem Big Data Service-Cluster.

Verwenden Sie eine der folgenden Optionen:

Verwenden des Dienstprogramms enable_activedirectory (empfohlen)

Hinweis

Verwenden Sie diese Option für Big Data Service 3.0.27 und höher.
Mit diesem Dienstprogramm können Sie Kerberos über die Active Directory- und LDAP-Integration für einzelne Services aktivieren, einschließlich Ambari, Hue, Ranger und JupyterHub.
  1. Stellen Sie über eine Befehlsshell eine Verbindung zum Knoten un0 her, und verwenden Sie Secure Shell (SSH).
  2. Führen Sie den folgenden Befehl aus: 
    sudo enable_activedirectory

    Active Directory-Eigenschaften eingeben:

    • KDC-Hosts: <AD_SERVER_FQDN>
    • Realm-Name: <AD_REALM_NAME>
    • LDAP-URL: ldaps://<AD_FQDN>:636 oder ldap://<AD_FQDN>:389
    • Container-DN: <AD_SEARCH_BASE>
    • Kadmin-Host: <AD_FQDN>:749
    • Admin-Prinzip: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Admin-Kennwort: <AD_BIND_USER_PWD>
    • Admin-DN: CN=<username>,CN=Benutzer,DC=<XXX>,DC=<YYY>,DC=<ZZZ>

Ambari verwenden

  1. Öffnen Sie Apache Ambari.
  2. Wählen Sie in der seitlichen Symbolleiste unter Clusteradministrator die Option Kerberos aus.
  3. Wählen Sie Kerberos aktivieren aus, und führen Sie die folgenden Aktionen durch:
    1. Wählen Sie unter Welchen KDC-Typ möchten Sie verwenden? die Option Vorhandenes Active Directory aus.
    2. Aktivieren Sie unter Vorhandenes Active Directory alle Kontrollkästchen.
    3. Wählen Sie Weiter.
  4. Konfigurieren Sie Kerberos wie folgt:
    1. Active Directory-Eigenschaften eingeben:
      • KDC-Hosts: <AD_SERVER_FQDN>
      • Realm-Name: <AD_REALM_NAME>
      • LDAP-URL: ldaps://<AD_FQDN>:636 oder ldap://<AD_FQDN>:389
      • Container-DN: <AD_SEARCH_BASE>
      • Kadmin-Host: <AD_FQDN>:749
      • Admin-Prinzip: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Admin-Kennwort: <AD_BIND_USER_PWD>
    2. Wählen Sie Admin-Zugangsdaten speichern aus.
    3. Wählen Sie Weiter.
  5. Nachdem der Kerberos-Service erfolgreich installiert und getestet wurde, wählen Sie Weiter.
  6. Um Identitäten zu konfigurieren, akzeptieren Sie die Standardwerte, und wählen Sie Weiter.
  7. Bestätigen Sie die Konfiguration:
    1. (Optional) Um eine CSV-Datei der Prinzipien und Keytabs herunterzuladen, die Apache Ambari erstellt hat, wählen Sie CSV herunterladen aus.
    2. Prüfen Sie die Konfiguration, und wählen Sie Weiter aus.
  8. Services starten und testen
    Wenn Sie Fehler erhalten, können Sie die Tests erneut ausführen, indem Sie Wiederholen auswählen.
  9. Wählen Sie Abgeschlossen aus.

Kerberos deaktivieren

Dies gilt für Cluster, in denen Kafka- und Ranger-Services installiert sind. Die Deaktivierung von Kerberos in einem sicheren/HA-Cluster muss entsprechend durchgeführt werden, um einen Fehler bei der Kafka-Serviceprüfung zu vermeiden. Verwenden Sie einen der folgenden Ansätze.

KDC deaktivieren

Um den Active Directory-KDC einzurichten, müssen Sie zuerst den MIT-KDC deaktivieren.

Wichtig

Wenn das Kafka Ranger-Plug-in installiert ist, führen Sie stattdessen die Schritte zum Deaktivieren von Kerberos aus.
  1. Öffnen Sie Apache Ambari.
  2. Wählen Sie in der seitlichen Symbolleiste unter Clusteradministrator die Option Kerberos aus.
  3. Wählen Sie Kerberos deaktivieren.
  4. Folgen Sie dem Assistenten "Kerberos deaktivieren", und wählen Sie Abschließen aus.

KDC wird deaktiviert, wenn das Kafka Ranger-Plug-in installiert ist

Methode 1 (empfohlen)

Wenn Kerberos aktiviert ist, gilt Folgendes:

  1. Deaktivieren Sie das Kafka Ranger-Plugin von Ambari:
    1. Melden Sie sich bei Ambari an.
    2. Wählen Sie in der seitlichen Symbolleiste unter Services die Option Ranger aus.
    3. Wählen Sie Configs, Ranger-Plug-in aus.
  2. Deaktivieren Sie Kerberos.
  3. Aktivieren Sie das Kafka Ranger-Plug-in, falls erforderlich.

Methode 2

Wenn Kerberos derzeit aktiviert ist und Sie das Kafka-Ranger-Plug-in nicht deaktivieren möchten, gehen Sie wie folgt vor:

  1. Gehen Sie zu Ranger, und navigieren Sie zu den Policys für Kafka Service.
  2. Fügen Sie public-Gruppen zu all - topic- und all - cluster-Policys hinzu. Wenn diese Richtlinien aus irgendeinem Grund nicht existieren, erstellen Sie sie. Ziel ist es, der öffentlichen Gruppe Zugriff auf alle Themen- und Clusterressourcen zu erteilen, die für die Kafka-Serviceprüfung erforderlich sind.
  3. Deaktivieren Sie Kerberos.
  4. Entfernen Sie die oben hinzugefügten öffentlichen Gruppen.

Methode 3

Wenn Kerberos bereits deaktiviert ist und die Kafka-Serviceprüfung bereits nicht erfolgreich war, gilt Folgendes:

  1. Deaktivieren Sie das Kafka Ranger-Plug-in, wie unter Methode 1 beschrieben.
  2. Starten Sie den Kafka-Service nach Bedarf neu.
  3. Kafka Ranger-Plug-in aktivieren
Hinweis

Öffentlicher Gruppenzugriff auf alle - Topic-Policy ist für die Kafka-Serviceprüfung (Kafka > Aktionen > Serviceprüfung ausführen) erforderlich, nachdem Kerberos deaktiviert wurde.