Documentación de Oracle Cloud Infrastructure

Configuración de la autenticación de Kerberos con KDC de Active Directory únicamente (recomendado)

Configure la autenticación de Kerberos mediante el KDC de Active Directory solo para Big Data Service.

El cluster de Big Data Service aprovisiona el KDC local del MIT por defecto. El asistente de Kerberos se puede utilizar para desactivar el KDC y activar el KDC de Active Directory.

Activación de Kerberos con Active Directory existente

Active Kerberos mediante Active Directory existente en un cluster de Big Data Service.

Seleccione una de las opciones siguientes:

Uso de la utilidad enable_activedirectory (recomendado)

Nota

Utilice esta opción para Big Data Service 3.0.27 y posteriores.
Esta utilidad le permite activar Kerberos mediante la integración de Active Directory y LDAP para servicios individuales, incluidos Ambari, Hue, Ranger y JupyterHub.
  1. Conéctese al nodo un0 mediante un shell de comandos y utilice el shell seguro (SSH).
  2. Ejecute el siguiente comando: 
    sudo enable_activedirectory

    Introduzca las propiedades de Active Directory:

    • KDC Hosts: <AD_SERVER_FQDN>
    • Realm name: <AD_REALM_NAME>
    • URL de LDAP: ldaps://<AD_FQDN>:636 o ldap://<AD_FQDN>:389
    • DN de Contenedor: <AD_SEARCH_BASE>
    • Host Kadmin: <AD_FQDN>:749
    • Principio de administración: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Contraseña de administrador: <AD_BIND_USER_PWD>
    • DN de administrador: CN=<username>,CN=Users,DC=<XXX>,DC=<YYY>,DC=<ZZZ>

Uso de Ambari

  1. Acceda a Apache Ambari.
  2. En la barra de herramientas lateral, en Cluster Admin (Administrador de cluster), seleccione Kerberos.
  3. Seleccione Enable Kerberos y, a continuación, realice las siguientes acciones:
    1. En ¿Qué tipo de KDC tiene previsto utilizar?, seleccione Active Directory existente.
    2. En Active Directory existente, seleccione todas las casillas de control.
    3. Seleccione Next (Siguiente).
  4. Configure Kerberos de la siguiente manera:
    1. Introduzca las propiedades de Active Directory:
      • KDC Hosts: <AD_SERVER_FQDN>
      • Realm name: <AD_REALM_NAME>
      • URL de LDAP: ldaps://<AD_FQDN>:636 o ldap://<AD_FQDN>:389
      • DN de Contenedor: <AD_SEARCH_BASE>
      • Host Kadmin: <AD_FQDN>:749
      • Principio de administración: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Contraseña de administrador: <AD_BIND_USER_PWD>
    2. Seleccione Guardar Credenciales de Administración.
    3. Seleccione Next (Siguiente).
  5. Después de que el servicio Kerberos se haya instalado y probado correctamente, seleccione Next (Siguiente).
  6. Para configurar identidades, acepte los valores predeterminados y seleccione Next (Siguiente).
  7. Confirme la configuración:
    1. (Opcional) Para descargar un archivo CSV de los principios y las fichas de claves que ha creado Apache Ambari, seleccione Descargar CSV.
    2. Revise la configuración y, a continuación, seleccione Siguiente.
  8. Iniciar y probar servicios.
    Si recibe errores, puede volver a ejecutar las pruebas seleccionando Reintentar.
  9. Seleccione Completar.

Desactivación de Kerberos

Esto se aplica a los clusters que tienen instalados los servicios de Kafka y Ranger. La desactivación de Kerberos en un cluster seguro/de alta disponibilidad se debe realizar correctamente para evitar fallos de comprobación de servicio de Kafka. Utilice uno de los siguientes enfoques.

Desactivación de KDC

Para configurar el KDC de Active Directory, primero debe desactivar el KDC de MIT.

Importante

Si el complemento de Kafka Ranger está instalado, siga los pasos para desactivar Kerberos.
  1. Acceda a Apache Ambari.
  2. En la barra de herramientas lateral, en Cluster Admin (Administrador de cluster), seleccione Kerberos.
  3. Seleccione Disable Kerberos.
  4. Siga el asistente para desactivar Kerberos y, a continuación, seleccione Complete (Completo).

Desactivación de KDC cuando se instala el plugin de Kafka Ranger

Método 1 (recomendado)

Si Kerberos está activado:

  1. Desactive el plugin de Kafka Ranger de Ambari:
    1. Inicie sesión en Ambari.
    2. En la barra de herramientas lateral, en Servicios, seleccione Ranger.
    3. Seleccione Configs y, a continuación, seleccione Ranger Plugin.
  2. Desactive Kerberos.
  3. Active el plugin de Kafka Ranger si es necesario.

Método 2

Si Kerberos está activado actualmente y no desea desactivar el plugin de Kafka ranger, haga lo siguiente:

  1. Vaya a Ranger y vaya a las políticas de Kafka Service.
  2. Agregue el grupo public a las políticas all - topic y all - cluster. Si por alguna razón esas políticas no existen, créelas. El objetivo es conceder a los grupos públicos acceso a todos los recursos de temas y clusters necesarios para la comprobación del servicio de Kafka.
  3. Desactive Kerberos.
  4. Elimine los grupos públicos que se agregaron anteriormente.

Método 3

Si Kerberos ya está desactivado y la comprobación del servicio de Kafka ya ha fallado,:

  1. Desactive el plugin de Kafka Ranger como se menciona en el método 1.
  2. Reinicie el servicio de Kafka según sea necesario.
  3. Activar el plugin de Kafka Ranger
Nota

El acceso de grupo público a la política all - topic es necesario para la comprobación del servicio de Kafka (Kafka > Actions > Run Service Check) después de desactivar Kerberos.