Documentation Oracle Cloud Infrastructure

Configuration du navigateur Web

Configurez des navigateurs Web pour les clusters Big Data Service activés par Kerberos.

Une fois toutes les tâches terminées, le fichier WebUIs sécurisé dans le cluster est accessible à partir du système client Windows.

Configuration du navigateur Web pour accéder à la console Web Oozie ou à tout autre WebUIs

Ces étapes s'appliquent à Windows OS et Mac avec Mozilla Firefox pour accéder à WebUIs protégé par Kerberos HTTP SPNEGO.
  1. Ouvrez la page de configuration de Firefox de bas niveau en chargeant la page about:config.
  2. Sélectionnez l'avertissement de garantie pour accéder à la page de configuration de Firefox.
  3. Dans la zone Rechercher :, entrez network.negotiate-auth.trusted-uris.
  4. Sélectionnez network.negotiate-auth.trusted-uris, puis entrez le nom de domaine qualifié complet de l'hôte prenant en charge le rôle dans lequel WebUI est lancé.
    • Si NameNode WebUI est en cours de lancement, entrez le FDQN des serveurs dotés du rôle NameNode.
    • Si ResourceManger WebUI est en cours de lancement, entrez le nom de domaine qualifié complet des serveurs dotés du rôle ResourceManager.
    • Si d'autres noms d'hôte figurent déjà dans ce champ, créez une liste de noms de domaine qualifiés complets séparés par des virgules pour les hôtes.
    • Une autre option consiste à entrer le nom de domaine des hôtes avec les rôles prenant en charge l'élément WebUIs qui vous intéresse. Par exemple, .<DOMAIN>. Par exemple, .example.com. Séparez les différents domaines et noms d'hôte par une virgule.
  5. Sélectionnez OK.
  6. Recherchez la propriété network.auth.use-sspi dans la zone de recherche.
    Remarque

    SSPI doit être désactivé lors de l'utilisation de MIT Kerberos car SSPI est natif pour les environnements Windows et peut ne pas offrir un mécanisme d'authentification équivalent pour les environnements MIT Kerberos.
  7. Sélectionnez la propriété pour basculer la valeur sur False.
  8. Les mises à jour facultatives suivantes peuvent également être nécessaires sur la page de configuration de Firefox. Par exemple, la page about:config. Effectuez les étapes 1 à 7 précédentes pour chacune d'elles.
    • network.negotiate-auth.delegation-uris
      1. Répertoriez les sites pour lesquels le navigateur peut déléguer l'autorisation utilisateur au serveur.
      2. Mettez à jour avec le domaine (.<DOMAIN>) des sites que le navigateur peut déléguer l'autorisation utilisateur au serveur. (Par exemple : .example.com)
    • network.negotiate-auth.using-native-gsslib
      1. Pour utiliser la bibliothèque GSSAPI par défaut, définissez la valeur sur False.
    • network.negotiate-auth.allow-non-fqdn

      Pour accepter les noms de domaine de service au lieu des noms de domaine qualifiés complets, définissez la valeur sur True.

  9. Une fois les modifications terminées, redémarrez le navigateur Firefox. Vous devez redémarrer toutes les fenêtres de Firefox ouvertes. La configuration de Firefox pour SPNEGO est terminée.

Installation d'un client Kerberos

Ces étapes s'appliquent uniquement à Windows.
  1. Téléchargez le MIT Kerberos pour Windows à partir de :

    http://web.mit.edu/kerberos/dist/

  2. Téléchargez le fichier d'installation msi et sélectionnez le fichier pour lancer l'assistant d'installation
  3. Sélectionnez Suivant, puis acceptez l'accord de licence.
  4. Sélectionnez Suivant, puis Configuration standard.
    Nous le recommandons à la plupart des utilisateurs.
  5. Sélectionnez Suivant.
  6. Pour démarrer l'installation, sélectionnez Install.
  7. Une fois l'installation terminée, sélectionnez Finish.

Configuration du fichier de cache d'informations d'identification Kerberos

Ces étapes sont uniquement pour Windows.
  1. Créez C:\temp sur l'ordinateur Windows.
  2. Accédez à Panneau de configuration > Tous les éléments du panneau de configuration > Système.
  3. Sélectionnez Paramètres système avancés, puis, dans l'onglet Avancé, sélectionnez Variables d'environnement.
  4. Créez la nouvelle variable d'environnement KRB5CCNAME sous Variables système si elle n'existe pas.
    Exemple :
    Variable name : "KRB5CCNAME"
Variable Value : C:\temp\krb5cache
    Remarque

    Une variable d'environnement peut être créée sous Variables utilisateur ou Variables système. Cependant, KRB5CCNAME doit être créé sous Variables système.
  5. Pour enregistrer la nouvelle variable et fermer toutes les fenêtres ouvertes, sélectionnez OK.
    Remarque

    Ne redémarrez pas le système à ce stade.

Configuration du fichier de configuration Kerberos pour Windows

  1. Copiez /etc/krb5.conf d'un hôte maître de cluster vers le système Windows.
  2. Renommez krb5.ini et copiez-le dans C:\ProgramData\MIT\Kerberos5.
  3. Vérifiez que la variable d'environnement KRB5_CONFIG est définie correctement. Mettez-les à jour si nécessaire.

    KRB5_CONFIG doit pointer vers l'emplacement de krb5.ini.

    1. Sur le système Windows, accédez à Panneau de configuration > Système.
    2. Sélectionnez Paramètres système avancés, puis, dans l'onglet Avancé, sélectionnez Variables d'environnement.
    3. Créez la nouvelle variable d'environnement KRB5_CONFIG sous Variables système si elle n'existe pas.
      Exemple :
      Variable name : "KRB5_CONFIG"
Variable Value : C:\ProgramData\MIT\Kerberos5\krb5.ini
      Remarque

      Une variable d'environnement peut être créée sous Variables utilisateur ou Variables système. Cependant, KRB5_CONFIG doit être créé sous Variables système.
    4. Pour enregistrer la nouvelle variable et fermer toutes les fenêtres ouvertes, sélectionnez OK.
  4. Ajoutez tous les noeuds maître et utilitaire du cluster au fichier d'hôtes sur le client Windows en mettant à jour C:\Windows\System32\Drivers\etc\hosts avec les adresses IP publiques des noeuds maîtres.
  5. Pour terminer les mises à jour des variables d'environnement, redémarrez le système Windows.

Configuration du fichier de configuration Kerberos sur un Mac

  1. Copiez /etc/krb5.conf d'un hôte maître de cluster vers le système Mac.
  2. Ajoutez tous les noeuds maître et utilitaire du cluster à /etc/hosts sur le client Mac en mettant à jour /etc/hosts avec les adresses IP publiques des noeuds maître.

Obtention d'un ticket Kerberos

Obtention du ticket Kerberos sur le client Windows (option 1)

Il existe deux façons d'authentifier le ticket Kerberos sur un client Windows. Il s'agit de la première option. Reportez-vous à la section Obtaining the Kerberos Ticket on the Windows Client (Option 2) pour l'option 2.
  1. Sur un système Windows, sélectionnez Démarrer, puis ouvrez le logiciel 'MIT Kerberos Ticket Manager' pour obtenir la liste des programmes.
  2. Sélectionnez Get Ticket.
  3. Saisissez le nom et le mot de passe du principal Kerberos.
  4. Enregistrez le nom utilisateur et le mot de passe.

    Le ticket est visible dans l'outil Gestionnaire de tickets.

Obtention du ticket Kerberos sur le client Windows (option 2)

Il existe deux façons d'authentifier le ticket Kerberos sur un client Windows. C'est la deuxième option. Reportez-vous à la section Obtaining the Kerberos Ticket on the Windows Client (Option 1) pour l'option 1.
  1. Authentifiez le principal Kerberos à l'aide du nouveau fichier keytab : 
    >C:\"Program Files\MIT\Kerberos\bin\kinit.exe -kt <PATH>\<KEREROS_PRINCIPAL>.keytab <KERBEROS_PRINCIPAL>
  2. Vérifiez qu'un ticket valide a été créé. Exemple de sortie réussie : 
    >C:\"Program Files"\MIT\Kerberos\bin\klist.exe
Ticket cache: FILE:C\temp\krb5cache
Default principal: <KERBEROS_PRINCIPAL>@<REALM>

Valid starting Expires Service principal
11/01/22 08:26:58 11/02/22 08:26:58 krbtgt/<DOMAIN>@<REALM>
renew until 11/08/22 07:26:58

Obtention du ticket Kerberos sur un Mac

  1. Obtenez le nom du principe en utilisant : 
    # klist -kt <KEYTAB>
  2. Créez un jeton sur l'ordinateur client. 
    # kinit -kt <KEYTAB> <PRINCIPLE_NAME>

Activation de la console Web Oozie

L'activation de la console Web Oozie dans un cluster ODH compatible Kerberos nécessite des étapes supplémentaires.