Configuración de la autenticación de Kerberos con KDC local y KDC de Active Directory

El cluster de Big Data Service aprovisiona el KDC local del MIT por defecto. El cluster también se puede aprovisionar para utilizar el KDC de Active Directory para usuarios que pertenecen al dominio de Active Directory. También debe configurar la confianza cruzada entre los dos dominios.

Actualización de Ambari para utilizar el KDC de Active Directory

Acceda a Apache Ambari.
En la barra de herramientas lateral, en Cluster Admin (Administrador de cluster), seleccione Kerberos.
Seleccione el separador Configs y, a continuación, amplíe la sección Advanced krb5-conf.

Modifique el campo krb5-conf template de forma similar al siguiente contenido:

{#
# Licensed to the Apache Software Foundation (ASF) under one
# or more contributor license agreements.  See the NOTICE file
# distributed with this work for additional information
# regarding copyright ownership.  The ASF licenses this file
# to you under the Apache License, Version 2.0 (the
# "License"); you may not use this file except in compliance
# with the License.  You may obtain a copy of the License at
#
#   http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.
#}
[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = {{realm}}
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  #default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = {{encryption_types}}
  #default_tkt_enctypes = {{encryption_types}}
{% if domains %}
[domain_realm]
{%- for domain in domains.split(',') %}
  {{domain|trim()}} = {{realm}}
{%- endfor %}
{% endif %}
  example.oraclevcn.com = <ad-realm>
 
[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log
 
[realms]
  {{realm}} = {
{%- if master_kdc %}
    master_kdc = {{master_kdc|trim()}}
{%- endif -%}
{%- if kdc_hosts > 0 -%}
{%- set kdc_host_list = kdc_hosts.split(',')  -%}
{%- if kdc_host_list and kdc_host_list|length > 0 %}
    admin_server = {{admin_server_host|default(kdc_host_list[0]|trim(), True)}}
{%- if kdc_host_list -%}
{%- if master_kdc and (master_kdc not in kdc_host_list) %}
    kdc = {{master_kdc|trim()}}
{%- endif -%}
{% for kdc_host in kdc_host_list %}
    kdc = {{kdc_host|trim()}}
{%- endfor -%}
{% endif %}
{%- endif %}
{%- endif %}
  }
 
{# Append additional realm declarations below #}
  <ad-realm> = {
    admin_server = server-example.oraclevcn.com:749
    kdc = kdc-example.oraclevcn.com:88
    default_domain = domain-example.oraclevcn.com
  }
 
[capaths]
<ad-realm> = {
<your-local-realm> = .
}

Guarde la configuración y reinicie todos los servicios afectados.
Vaya a HDFS > Configs > Advanced > Advanced core-site.

Cambie el parámetro hadoop.security.auth_to_local para incluir lo siguiente:

RULE:[1:$1@$0](.*@<ad-realm>)s/@.*//

Ejemplo:

RULE:[2:$1@$0](yarn@EXAMPLE.ORACLE.COM)s/.*/yarn/
RULE:[2:$1@$0](yarn-ats-hbase@EXAMPLE.ORACLE.COM)s/.*/yarn-ats/
RULE:[1:$1@$0](.*@EXAMPLE.REALM)s/@.*//
DEFAULT

Configuración de confianza entre dominios entre dominios

Puede configurar una confianza entre dominios unidireccional desde un centro de distribución de claves (KDC) local al dominio de Active Directory en un cluster con kerberos activado para ODH de Big Data Service.

Configuración del servidor de Active Directory

Para definir el tipo de cifrado preferido en el servidor de Active Directory (AD), abra el cuadro de diálogo Administración de políticas de grupo (Start [Inicio] > Windows Administrative Tools Group Policy Management [Gestión de políticas de grupo]).
En el recuadro de diálogo Administración de Directivas de Grupo, vaya a la carpeta Bosque: <ad-realm> > Dominios > <ad-realm>.
Haga clic con el botón derecho en Default Domain Policy y, a continuación, seleccione Edit (Editar).
En el Editor de gestión de políticas de grupo, vaya a Security Options (Opciones de seguridad) ampliando Computer Configuration (Configuración de equipo) > Policies (Políticas) > Windows Settings (Configuración de ventanas) > Security Settings (Configuración de seguridad) > Local Policies (Políticas locales) > Security Options (Opciones de seguridad).
Asegúrese de que la carpeta Opciones de seguridad está seleccionada y, a continuación, haga doble clic en la política Seguridad de red: configurar tipos de cifrado permitidos para Kerberos.
Configure el tipo de cifrado necesario permitido para Kerberos en el cuadro de diálogo. Recomendamos usar el tipo de cifrado más seguro soportado en Big Data Service, que es AES256_HMAC_SHA1. Seleccione la política y, a continuación, seleccione Aceptar.

Defina el cifrado en la línea de comandos agregando la confianza del dominio local a Active Directory.

netdom trust <your-local-realm> /Domain:<ad-realm> /add /realm /passwordt:<trust-password>

Ejemplo:

C:\Users\administrator> netdom trust EXAMPLE.ORACLE.COM /Domain:EXAMPLE.REALM /add /realm /passwordt:Welcome1
> The command completed successfully.

Defina el tipo de cifrado adecuado.

ksetup /SetEncTypeAttr <your-local-realm> <enc_type>

El parámetro <enc_type> especifica el cifrado AES, DES o RC4. Seleccione una de las siguientes tablas:

Nombre de cifrado que utiliza la política de cifrado de AD	Nombre de cifrado soportado por ksetup:setenctypeattr
DES_CBC_CRC	DES-CBC-CRC
DES_CBC_MD5	DES-CBC-MD5
RC4_HMAC_MD5	RC4-HMAC-MD5
AES128_HMAC_SHA1	AES128-CTS-HMAC-SHA1-96
AES256_HMAC_SHA1	AES256-CTS-HMAC-SHA1-96

Ejemplo:

C:\Users\Administrator> ksetup /SetEncTypeAttr EXAMPLE.ORACLE.COM AES256-CTS-HMAC-SHA1-96
> Setting enctypes for domain EXAMPLE.ORACLE.COM to:AES256-CTS-HMAC-SHA1-96

Verifique la lista de tipos de cifrado definida.

ksetup /GetEncTypeAttr <your-local-realm>

Ejemplo:

C:\Users\administrator> ksetup /GetEncTypeAttr EXAMPLE.ORACLE.COM
> Enctypes for domain EXAMPLE.ORACLE.COM: AES256-CTS-HMAC-SHA1-96

Configuración del servidor KDC MIT maestro

Ejecute el siguiente comando como raíz en el KDC maestro, que se encuentra en el primer nodo maestro (mn0) del cluster de Big Data Service.
```
kadmin.local
```

Agregue el principal krbtgt entre dominios.

kadmin.local: addprinc -e "<enc_type_list>" krbtgt/<your-local-realm>@<ad-realm>

Se le solicitará que introduzca una contraseña. Utilice la misma contraseña que ha utilizado en el comando netdom del servidor de Active Directory.

Ejemplo:

kadmin.local: addprinc -e "aes256-cts:normal" krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>
> WARNING: no policy specified for krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>; defaulting to no policy
> Enter password for principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>":
> Re-enter password for principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>":
> Principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>" created.

Nota

El tipo de cifrado en Big Data Service tiene una regla de nombre diferente a la del servidor de Active Directory. Por ejemplo, si se utiliza AES256-CTS-HMAC-SHA1-96 en el servidor de Active Directory, el tipo correspondiente en Big Data Service es aes256-cts:normal.

Documentación de Oracle Cloud Infrastructure

Configuración de la autenticación de Kerberos con KDC local y KDC de Active Directory

Actualización de Ambari para utilizar el KDC de Active Directory

Configuración de confianza entre dominios entre dominios

Configuración del servidor de Active Directory

Configuración del servidor KDC MIT maestro