Documentación de Oracle Cloud Infrastructure

Configuración de la autenticación de Kerberos con KDC de Active Directory únicamente (recomendado)

Configure la autenticación de Kerberos mediante el KDC de Active Directory solo para Big Data Service.

El cluster de Big Data Service aprovisiona el KDC local del MIT por defecto. El asistente de Kerberos se puede utilizar para desactivar el KDC y activar el KDC de Active Directory.

Activación de Kerberos con Active Directory existente

Active Kerberos mediante Active Directory existente en un cluster de Big Data Service.

Seleccione una de las opciones siguientes:

Uso de la utilidad enable_activedirectory para Big Data Service 3.0.27 y posteriores (recomendado)

Use la utilidad enable_activedirectory para activar Kerberos mediante la integración de Active Directory y LDAP para servicios individuales, incluidos Ambari, Hue, Ranger y JupyterHub.

Nota

  • Utilice esta opción para Big Data Service 3.0.27 y posteriores.
  • Si está configurando Ranger para la integración de LDAP, asegúrese de que la contraseña de usuario de enlace de Active Directory (AD) solo contenga los siguientes caracteres:
    • Alfanuméricos: A–Z, a–z, 0–9
    • Letras Especiales: []{}|;:,./<>?~!@#$%^&*()_+-=~
  1. Conéctese al nodo un0 mediante un shell de comandos, mediante shell seguro (SSH).
  2. Ejecute el siguiente comando: 
    sudo enable_activedirectory

    Introduzca las propiedades de Active Directory:

    • KDC Hosts: <AD_SERVER_FQDN>
    • Realm name: <AD_REALM_NAME>
    • URL de LDAP: ldaps://<AD_FQDN>:636 o ldap://<AD_FQDN>:389
    • Container DN: <AD_SEARCH_BASE>
    • Kadmin host: <AD_FQDN>:749
    • Principio de administración: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Admin password (Contraseña de administrador): <AD_BIND_USER_PWD>
    • Admin DN (DN de administrador): CN=<username>,CN=Users,DC=<XXX>,DC=<YYY>,DC=<ZZZ>
    También puede especificar explícitamente servicios con la opción -s:
    sudo enable_activedirectory -s <space separated services>

    Las opciones disponibles son: Kerberos Ambari Hue Ranger.

    Nota

    • Para Big Data Service BDS 3.1.1 y versiones anteriores, Kerberos no se puede especificar con -s. En su lugar, utilice: 
      sudo enable_activedirectory -ot enableKerberosWithAD
    • Para JupyterHub, deberá configurar manualmente la autenticación con LDAP/Active Directory.

Actualización de contraseñas de usuario de enlace de Active Directory mediante la utilidad enable_activedirectory

Use la utilidad enable_activedirectory para actualizar una contraseña de usuario de enlace de Active Directory (AD) configurada en los servicios integrados LDAP cuando se cambia o se rota la contraseña del usuario de AD.

Nota

Utilice esta opción para Big Data Service 3.3.0 y versiones posteriores.
  1. Conéctese al nodo un0 mediante un shell de comandos y utilice el shell seguro (SSH).
  2. Para actualizar la misma contraseña para todos los servicios (Kerberos, Ambari, Hue, Ranger) de una sola vez, ejecute este comando: 
    sudo enable_activedirectory -u

    Introduzca la siguiente información:

    • Contraseña de Ambari: <AMBARI_ADMIN_PWD>
    • AD Bind User Password (Contraseña de usuario de enlace de AD): <AD_BIND_USER_PWD>
  3. Para actualizar servicios específicos, utilice la opción -s: 
    sudo enable_activedirectory -u -s <space separated services>
    Las opciones disponibles son: Kerberos Ambari Hue Ranger.
    Nota

    • Sin -s (no se ha especificado ningún servicio), la utilidad aplica la misma contraseña de usuario de enlace de AD a todos los servicios soportados.
    • Con muchos servicios especificados en -s (separados por espacios), la misma contraseña de usuario de enlace de AD se aplica solo a esos servicios. Por ejemplo: 
      sudo enable_activedirectory -u -s Ranger Hue Ambari
    • Si diferentes servicios requieren contraseñas o usuarios de enlace de AD diferentes, ejecute la utilidad por separado para cada servicio. Por ejemplo,
      sudo enable_activedirectory -u -s Ranger
    • No es necesario actualizar la configuración de JupyterHub cuando se cambia o rota la contraseña de un usuario de Active Directory (AD). JupyterHub utiliza el enlace directo para la autenticación LDAP, por lo que los usuarios de AD pueden conectarse correctamente antes y después de que cambien sus contraseñas

Uso de Ambari

  1. Acceda a Apache Ambari.
  2. En la barra de herramientas lateral, en Administración de cluster, seleccione Kerberos.
  3. Seleccione Enable Kerberos y, a continuación, realice las siguientes acciones:
    1. En ¿Qué tipo de KDC tiene previsto utilizar?, seleccione Active Directory existente.
    2. En Active Directory existente, seleccione todas las casillas de control.
    3. Seleccione Next (Siguiente).
  4. Configure Kerberos de la siguiente manera:
    1. Introduzca las propiedades de Active Directory:
      • KDC Hosts: <AD_SERVER_FQDN>
      • Realm name: <AD_REALM_NAME>
      • URL de LDAP: ldaps://<AD_FQDN>:636 o ldap://<AD_FQDN>:389
      • Container DN: <AD_SEARCH_BASE>
      • Kadmin host: <AD_FQDN>:749
      • Principio de administración: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Admin password (Contraseña de administrador): <AD_BIND_USER_PWD>
    2. Seleccione Guardar Credenciales de Administración.
    3. Seleccione Next (Siguiente).
  5. Después de que el servicio Kerberos se haya instalado y probado correctamente, seleccione Next (Siguiente).
  6. Para configurar identidades, acepte los valores predeterminados y seleccione Next (Siguiente).
  7. Confirme la configuración:
    1. (Opcional) Para descargar un archivo CSV de los principios y las fichas de claves que ha creado Apache Ambari, seleccione Descargar CSV.
    2. Revise la configuración y, a continuación, seleccione Siguiente.
  8. Iniciar y probar servicios.
    Si recibe errores, puede volver a ejecutar las pruebas seleccionando Reintentar.
  9. Seleccione Completar.

Desactivación de Kerberos

Esto se aplica a los clusters que tienen instalados los servicios de Kafka y Ranger. La desactivación de Kerberos en un cluster seguro/de alta disponibilidad se debe realizar correctamente para evitar fallos de comprobación de servicio de Kafka. Utilice uno de los siguientes enfoques.

Desactivación de KDC

Para configurar el KDC de Active Directory, primero debe desactivar el KDC de MIT.

Importante

Si el plugin de Kafka Ranger está instalado, siga los pasos para desactivar Kerberos en su lugar.
  1. Acceda a Apache Ambari.
  2. En la barra de herramientas lateral, en Administración de cluster, seleccione Kerberos.
  3. Seleccione Disable Kerberos.
  4. Siga el asistente para desactivar Kerberos y, a continuación, seleccione Complete (Completo).

Desactivación de KDC cuando se instala el plugin de Kafka Ranger

Método 1 (recomendado)

Si Kerberos está activado:

  1. Desactive el plugin de Kafka Ranger de Ambari:
    1. Inicie sesión en Ambari.
    2. En la barra de herramientas lateral, en Servicios, seleccione Ranger.
    3. Seleccione Configs y, a continuación, seleccione Ranger Plugin.
  2. Desactive Kerberos.
  3. Active el plugin de Kafka Ranger si es necesario.

Método 2

Si Kerberos está activado actualmente y no desea desactivar el plugin de Kafka ranger, haga lo siguiente:

  1. Vaya a Ranger y vaya a las políticas de Kafka Service.
  2. Agregue el grupo public a las políticas all - topic y all - cluster. Si por alguna razón esas políticas no existen, créelas. El objetivo es conceder a los grupos públicos acceso a todos los recursos de temas y clusters necesarios para la comprobación del servicio de Kafka.
  3. Desactive Kerberos.
  4. Elimine los grupos públicos que se agregaron anteriormente.

Método 3

Si Kerberos ya está desactivado y la comprobación del servicio de Kafka ya ha fallado,:

  1. Desactive el plugin de Kafka Ranger como se menciona en el método 1.
  2. Reinicie el servicio de Kafka según sea necesario.
  3. Activar el plugin de Kafka Ranger
Nota

El acceso de grupo público a la política all - topic es necesario para la comprobación del servicio de Kafka (Kafka > Actions > Run Service Check) después de desactivar Kerberos.