Configurar explorador web

Configurar exploradores web para clusters de Big Data Service activados para Kerberos.

Después de completar todas las tareas, se puede acceder al WebUIs seguro del cluster desde el sistema cliente Windows.

Configuración del explorador web para acceder a la consola web de Oozie o a cualquier otro WebUIs

Estos pasos se aplican a Windows OS y Mac con Mozilla Firefox para acceder a WebUIs protegido por Kerberos HTTP SPNEGO.
  1. Abra la página de configuración de Firefox de bajo nivel cargando la página about:config.
  2. Seleccione la advertencia de garantía para acceder a la página de configuración de Firefox.
  3. En el cuadro Buscar:, introduzca network.negotiate-auth.trusted-uris.
  4. Seleccione network.negotiate-auth.trusted-uris y, a continuación, introduzca el FQDN para el host que soporta el rol donde se inicia WebUI.
    • Si se está iniciando NameNode WebUI, introduzca el FDQN de los servidores con el rol NameNode.
    • Si se está iniciando ResourceManger WebUI, introduzca el FQDN de los servidores con el rol ResourceManager.
    • Si ya hay otros nombres de host en este campo, cree una lista separada por comas de FQDN para los hosts.
    • Otra opción es introducir el nombre de dominio de los hosts con los roles que admiten WebUIs de interés. Por ejemplo, .<DOMAIN>. Por ejemplo, .example.com. Separe varios dominios y nombres de host con una coma.
  5. Seleccione OK (Aceptar).
  6. Busque la propiedad network.auth.use-sspi en el cuadro de búsqueda.
    Nota

    La SSPI se debe desactivar al utilizar MIT Kerberos porque la SSPI es nativa de entornos de Windows y puede que no ofrezca un mecanismo de autenticación equivalente para entornos de MIT Kerberos.
  7. Seleccione la propiedad para cambiar el valor a Falso.
  8. Las siguientes actualizaciones opcionales también pueden ser necesarias en la página de configuración de Firefox. Por ejemplo, la página about:config. Complete los pasos anteriores del 1 al 7 para cada uno.
    • network.negotiate-auth.delegation-uris
      1. Muestre los sitios para los que el explorador puede delegar la autorización del usuario al servidor.
      2. Actualice con el dominio (.<DOMAIN>) de los sitios en los que el explorador puede delegar la autorización de usuario al servidor. (Por ejemplo: .example.com)
    • network.negotiate-auth.using-native-gsslib
      1. Para usar la biblioteca GSSAPI predeterminada, establezca en False (Falso).
    • network.negotiate-auth.allow-non-fqdn

      Para aceptar nombres de dominio de servicio en lugar de FQDN, defínalos en Verdadero.

  9. Cuando se hayan completado los cambios, reinicie el explorador Firefox. Debe reiniciar todas las ventanas de Firefox abiertas. Esta acción finaliza la configuración de Firefox para SPNEGO.

Instalación de un cliente Kerberos

Estos pasos solo se aplican a Windows.
  1. Descargue el Kerberos de MIT para Windows desde:

    http://web.mit.edu/kerberos/dist/

  2. Descargue el archivo de instalación msi y seleccione el archivo para iniciar el asistente de configuración
  3. Seleccione Next (Siguiente) y, a continuación, acepte el acuerdo de licencia.
  4. Seleccione Siguiente y, a continuación, seleccione Configuración típica.
    Recomendamos esto para la mayoría de los usuarios.
  5. Seleccione Next (Siguiente).
  6. Para iniciar la instalación, seleccione Install (Instalar).
  7. Cuando finalice la instalación, seleccione Finish (Finalizar).

Configuración del archivo de caché de credenciales de Kerberos

Estos pasos son solo para Windows.
  1. Cree C:\temp en la máquina Windows.
  2. Vaya a Panel de control > Todos los elementos del panel de control > Sistema.
  3. Seleccione Configuración avanzada del sistema y, en el separador Avanzado, seleccione Variables de entorno.
  4. Cree la nueva variable de entorno KRB5CCNAME en Variables del sistema si no existe.
    Por ejemplo:
    Variable name : "KRB5CCNAME"
    Variable Value : C:\temp\krb5cache
    Nota

    Se puede crear una variable de entorno en Variables de usuario o Variables de sistema. Sin embargo, KRB5CCNAME se debe crear en Variables del sistema.
  5. Para guardar la nueva variable y cerrar todas las ventanas abiertas, seleccione Aceptar.
    Nota

    No reinicie el sistema en este punto.

Configuración del archivo de configuración de Kerberos para Windows

  1. Copie /etc/krb5.conf de un host maestro de cluster en el sistema Windows.
  2. Cambie el nombre de krb5.ini y cópielo a C:\ProgramData\MIT\Kerberos5.
  3. Confirme que la variable de entorno KRB5_CONFIG está definida correctamente. Realice las actualizaciones necesarias.

    KRB5_CONFIG debe apuntar a la ubicación de krb5.ini.

    1. En el sistema Windows, navegue hasta Panel de control > Sistema.
    2. Seleccione Configuración avanzada del sistema y, a continuación, en el separador Avanzada, seleccione Variables de entorno.
    3. Cree la nueva variable de entorno KRB5_CONFIG en Variables del sistema si no existe.
      Por ejemplo:
      Variable name : "KRB5_CONFIG"
      Variable Value : C:\ProgramData\MIT\Kerberos5\krb5.ini
      Nota

      Se puede crear una variable de entorno en Variables de usuario o Variables de sistema. Sin embargo, KRB5_CONFIG se debe crear en Variables del sistema.
    4. Para guardar la nueva variable y cerrar todas las ventanas abiertas, seleccione Aceptar.
  4. Agregue todos los nodos maestros y de utilidad del cluster al archivo de hosts en el cliente Windows actualizando C:\Windows\System32\Drivers\etc\hosts con las direcciones IP públicas para los nodos maestros.
  5. Para completar las actualizaciones de variables de entorno, reinicie el sistema Windows.

Configuración del archivo de configuración de Kerberos en una Mac

  1. Copie /etc/krb5.conf de un host maestro de cluster en el sistema Mac.
  2. Agregue todos los nodos maestros y de utilidad del cluster a /etc/hosts en el cliente Mac actualizando /etc/hosts con las direcciones IP públicas para los nodos maestros.

Obtención del ticket de Kerberos

Obtención del ticket de Kerberos en el cliente de Windows (opción 1)

Hay dos formas de autenticar el ticket de Kerberos en un cliente Windows. Esta es la primera opción. Consulte Obtaining the Kerberos Ticket on the Windows Client (Option 2) para obtener la opción 2.
  1. En un sistema Windows, seleccione Start (Iniciar) y, a continuación, abra el software 'MIT Kerberos Ticket Manager' para obtener una lista de programas.
  2. Seleccione Obtener ticket.
  3. Introduzca el nombre principal y la contraseña de Kerberos.
  4. Guarde el nombre de usuario y la contraseña.

    El ticket está visible en la herramienta Ticket Manager.

Obtención del ticket de Kerberos en el cliente de Windows (opción 2)

Hay dos formas de autenticar el ticket de Kerberos en un cliente Windows. Esta es la segunda opción. Consulte Obtaining the Kerberos Ticket on the Windows Client (Option 1) para obtener la opción 1.
  1. Autenticar el principal de Kerberos mediante la tabla de claves recién creada:
    >C:\"Program Files\MIT\Kerberos\bin\kinit.exe -kt <PATH>\<KEREROS_PRINCIPAL>.keytab <KERBEROS_PRINCIPAL>
  2. Verifique que se ha creado un ticket válido. Ejemplo de salida correcta:
    >C:\"Program Files"\MIT\Kerberos\bin\klist.exe
    Ticket cache: FILE:C\temp\krb5cache
    Default principal: <KERBEROS_PRINCIPAL>@<REALM>
    
    Valid starting Expires Service principal
    11/01/22 08:26:58 11/02/22 08:26:58 krbtgt/<DOMAIN>@<REALM>
    renew until 11/08/22 07:26:58

Obtención del ticket de Kerberos en una Mac

  1. Obtenga el nombre del principio utilizando:
    # klist -kt <KEYTAB>
  2. Cree un token en el equipo cliente.
    # kinit -kt <KEYTAB> <PRINCIPLE_NAME>

Activación de la Consola Web de Oozie

La activación de la consola web de Oozie en un cluster ODH activado para Kerberos requiere pasos adicionales.