Documentación de Oracle Cloud Infrastructure

Configuración de la autenticación de Apache Ranger con LDAP/Active Directory

Los usuarios autorizados de Active Directory deben estar configurados para obtener acceso a los servicios y recursos proporcionados en un cluster de servicios de Big Data. Para ello, se debe configurar Apache Ranger para que los usuarios de Active Directory puedan sincronizarse con Apache Ranger en Big Data Service. Addionally, los usuarios pueden querer iniciar sesión en la interfaz de usuario de Apache Ranger como usuarios de Active Directory.

Configuración de Ranger UserSync

La configuración de Ranger UserSync permite realizar la sincronización de usuarios basada en grupos desde el servidor de Active Directory. Los grupos y usuarios de Active Directory en grupos específicos se sincronizan en Ranger.

  1. Acceda a Apache Ambari.
  2. En la barra de herramientas lateral, en Servicios, seleccione Ranger.
  3. Seleccione Configuración y, a continuación, seleccione Información de usuario de mánager.
  4. Defina Activar sincronización de usuario en .
  5. Seleccione LDAP/AD en el menú desplegable Origen de sincronización.
  6. Seleccione Configuración común.
    1. Introduzca lo siguiente:
      • URL de LDAP/AD: introduzca la URL de LDAP/AD.
      • Enlazar Usuario: Introduzca la información del usuario de enlace. Por ejemplo, CN=Administrator,CN=Users,DC=<domain_controller>,DC=COM.
      • Enlazar Contraseña de Usuario Introduzca y confirme la contraseña.
    2. Defina Sincronización incremental en Verdadero.
    3. Establezca Enable LDAP STARTTLS en No.
  7. Seleccione Configuración de usuario.
    1. Introduzca lo siguiente en función de la configuración de LDAP:
      • Atributo de nombre de usuario: introduzca el atributo de nombre de usuario de LDAP. Por ejemplo, sAMAccountName.
      • Clase de Objeto de Usuario: introduzca el nombre de usuario de la clase de objeto.
      • Base de búsqueda de usuarios: proporcione el nombre distintivo (DN) donde debe comenzar la búsqueda de cuentas de usuario. El DN especifica el punto de inicio en la jerarquía LDAP para que Ranger UserSync localice usuarios.

        Ejemplos:

        • Para una única unidad organizativa (OU):

          Si la OU de destino es ParentOU en el dominio example.com:
          • OU=ParentOU,DC=example,DC=com

        • Para una jerarquía de OU anidada:

          Si la OU de destino es ChildOU en ParentOU en el dominio example.com:
          • OU=ChildOU,OU=ParentOU,DC=example,DC=com

        • Varias OU:

          Para buscar varias UO, sepárelas con un punto y coma (;):
          • OU=ParentOU1,DC=ejemplo,DC=com;OU=ParentOU2,DC=ejemplo,DC=com
      • Filtro de Búsqueda de Usuario: Introduzca los filtros de búsqueda. Esta es la expresión de filtro LDAP estándar. Puede especificar filtrar usuarios en un grupo específico. Consulte la sintaxis del filtro LDAP. Este campo puede permanecer vacío.
      • Valor de Búsqueda de Usuarios: Introduzca sub.
      • Atributo de nombre de grupo de usuarios: introduzca los atributos de nombre de grupo. Por ejemplo, memberof,ismemberof.
    2. Defina Sincronización de asignación de usuarios de grupo en Verdadero.
    3. Defina Activar búsqueda de usuario en .
  8. Para sincronizar el grupo, seleccione Configuración de grupo.
    1. Defina Activar sincronización de grupos en . Si no desea sincronizar el grupo, seleccione No y continúe con el siguiente paso.
    2. Introduzca lo siguiente:
      • Atributo de Miembro de Grupo: introduzca los atributos de miembro de grupo de LDAP. Por ejemplo, miembro.
      • Atributo de nombre de grupo: introduzca los atributos de nombre de grupo. Por ejemplo, cn.
      • Clase de Objeto de Grupo: Introduzca la clase de objeto de grupo. Por ejemplo, group.
      • Base de Búsqueda de Grupo: introduzca el nombre de dominio completo del contenedor en el que reside el grupo.

        Este texto es el mismo que el campo Base de Búsqueda de Usuario del separador Configuraciones de Usuario.

      • Filtro de búsqueda de grupo: introduzca los filtros de búsqueda de grupo de Active Directory. Por ejemplo, (|(CN=group1)(CN=group2)(CN=*admin))
        Nota

        Este filtro es la expresión de filtro LDAP estándar. Consulte la sintaxis del filtro LDAP.
    3. Defina Activar búsqueda de grupo primero en .
    4. Defina Sincronizar grupos anidados en .
  9. Para guardar la configuración y reiniciar el servicio Ranger User Sync, seleccione Save (Guardar).
  10. Espere hasta que el servicio de sincronización de usuarios de Ranger esté activo y en ejecución sin errores.

Configuración de la autenticación de Active Directory para Ranger

  1. Acceda a Apache Ambari.
  2. En la barra de herramientas lateral, en Servicios, seleccione Ranger.
  3. Seleccione Configuración y, a continuación, seleccione Avanzado.
  4. Seleccione Ranger Settings (Configuración de gestor).
  5. Seleccione ACTIVE_DIRECTORY para el método de autenticación.
  6. Introduzca la siguiente configuración de AD:
    • AD URL (URL de AD): introduzca la URL de Active Directory.
    • AD Bind DN: introduzca el DN de Active Directory
    • AD Bind Password (Contraseña de enlace de AD): introduzca y confirme la contraseña del enlace de Active Directory. Por ejemplo, <AD_BIND_USER_PWD>
    • AD Base DN (DN base de AD): introduzca el nombre de dominio de Active Directory. Por ejemplo, <AD_SEARCH_BASE>
    • AD Referral: seleccione Ignore (Ignorar).
    • AD User Search Filter (Filtro de búsqueda de usuarios de AD): introduzca el atributo de nombre de usuario de Active Directory. Por ejemplo, (sAMAccountName={0})
  7. Para guardar la configuración y reiniciar el servicio Ranger Admin, seleccione Save (Guardar).
  8. Espere hasta que el servicio de administración de Ranger esté activo y en ejecución sin errores.
  9. Validar configuración:
    1. Conéctese a Ranger con las credenciales de administrador del cluster.
    2. Seleccione cualquier política de servicio y, en la columna Select User (Seleccionar usuario), se muestran los usuarios de Active Directory que pueden tener políticas de autorización aplicadas. Si la lista desplegable de usuarios muestra solo un juego limitado de usuarios de Active Directory, consulte Ranger UI Dropdown Doesn't List All Synced Users.
    3. Conéctese al nodo del cluster y ejecute:
      kinit <user>@<ad-realm>
    4. Verifique que el ticket esté otorgado para el usuario de Active Directory. Ejecución:
      klist

      Resultado de ejemplo:

      Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: <user>@<ad-realm>
Valid starting       Expires              Service principal
09/01/2021 20:44:07  09/02/2021 06:44:07  krbtgt/<ad-realm>@<ad-realm>
renew until 09/08/2021 20:44:04
    5. Vaya al servicio Hadoop y verifique que puede acceder a los recursos.