Configuración de la autenticación de Kerberos con KDC de Active Directory únicamente (recomendado)
Configure la autenticación de Kerberos mediante el KDC de Active Directory solo para Big Data Service.
El cluster de Big Data Service aprovisiona el KDC local del MIT por defecto. El asistente de Kerberos se puede utilizar para desactivar el KDC y activar el KDC de Active Directory.
Activación de Kerberos con Active Directory existente
Active Kerberos mediante Active Directory existente en un cluster de Big Data Service.
Seleccione una de las opciones siguientes:
Uso de la utilidad enable_activedirectory para Big Data Service 3.0.27 y posteriores (recomendado)
Use la utilidad enable_activedirectory para activar Kerberos mediante la integración de Active Directory y LDAP para servicios individuales, incluidos Ambari, Hue, Ranger y JupyterHub.
- Utilice esta opción para Big Data Service 3.0.27 y posteriores.
- Si está configurando Ranger para la integración de LDAP, asegúrese de que la contraseña de usuario de enlace de Active Directory (AD) solo contenga los siguientes caracteres:
- Alfanuméricos:
A–Z,a–z,0–9 - Letras Especiales:
[]{}|;:,./<>?~!@#$%^&*()_+-=~
- Alfanuméricos:
Actualización de contraseñas de usuario de enlace de Active Directory mediante la utilidad enable_activedirectory
Use la utilidad enable_activedirectory para actualizar una contraseña de usuario de enlace de Active Directory (AD) configurada en los servicios integrados LDAP cuando se cambia o se rota la contraseña del usuario de AD.
Utilice esta opción para Big Data Service 3.3.0 y versiones posteriores.
Uso de Ambari
Desactivación de Kerberos
Esto se aplica a los clusters que tienen instalados los servicios de Kafka y Ranger. La desactivación de Kerberos en un cluster seguro/de alta disponibilidad se debe realizar correctamente para evitar fallos de comprobación de servicio de Kafka. Utilice uno de los siguientes enfoques.
Desactivación de KDC
Para configurar el KDC de Active Directory, primero debe desactivar el KDC de MIT.
Si el plugin de Kafka Ranger está instalado, siga los pasos para desactivar Kerberos en su lugar.
- Acceda a Apache Ambari.
- En la barra de herramientas lateral, en Administración de cluster, seleccione Kerberos.
- Seleccione Disable Kerberos.
- Siga el asistente para desactivar Kerberos y, a continuación, seleccione Complete (Completo).
Desactivación de KDC cuando se instala el plugin de Kafka Ranger
Método 1 (recomendado)
Si Kerberos está activado:
- Desactive el plugin de Kafka Ranger de Ambari:
- Inicie sesión en Ambari.
- En la barra de herramientas lateral, en Servicios, seleccione Ranger.
- Seleccione Configs y, a continuación, seleccione Ranger Plugin.
- Desactive Kerberos.
- Active el plugin de Kafka Ranger si es necesario.
Método 2
Si Kerberos está activado actualmente y no desea desactivar el plugin de Kafka ranger, haga lo siguiente:
- Vaya a Ranger y vaya a las políticas de Kafka Service.
- Agregue el grupo public a las políticas all - topic y all - cluster. Si por alguna razón esas políticas no existen, créelas. El objetivo es conceder a los grupos públicos acceso a todos los recursos de temas y clusters necesarios para la comprobación del servicio de Kafka.
- Desactive Kerberos.
- Elimine los grupos públicos que se agregaron anteriormente.
Método 3
Si Kerberos ya está desactivado y la comprobación del servicio de Kafka ya ha fallado,:
- Desactive el plugin de Kafka Ranger como se menciona en el método 1.
- Reinicie el servicio de Kafka según sea necesario.
- Activar el plugin de Kafka Ranger
El acceso de grupo público a la política all - topic es necesario para la comprobación del servicio de Kafka (Kafka > Actions > Run Service Check) después de desactivar Kerberos.