Configuration de l'authentification Kerberos à l'aide du centre de distribution de clés local et du centre de distribution de clés Active Directory

Le cluster Big Data Service provisionne le KDC MIT local par défaut. Le cluster peut également être provisionné pour utiliser le KDC Active Directory pour les utilisateurs appartenant au domaine Active Directory. Vous devez également configurer la confiance croisée entre les deux domaines.

Mise à jour d'Ambari pour utiliser le KDC Active Directory

Accédez à Apache Ambari.
Dans la barre d'outils latérale, sous Administration du cluster, sélectionnez Kerberos.
Sélectionnez l'onglet Configurations, puis développez la section Advanced krb5-conf.

Modifiez le champ Modèle krb5-conf à l'image du contenu suivant :

{#
# Licensed to the Apache Software Foundation (ASF) under one
# or more contributor license agreements.  See the NOTICE file
# distributed with this work for additional information
# regarding copyright ownership.  The ASF licenses this file
# to you under the Apache License, Version 2.0 (the
# "License"); you may not use this file except in compliance
# with the License.  You may obtain a copy of the License at
#
#   http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.
#}
[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = {{realm}}
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  #default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = {{encryption_types}}
  #default_tkt_enctypes = {{encryption_types}}
{% if domains %}
[domain_realm]
{%- for domain in domains.split(',') %}
  {{domain|trim()}} = {{realm}}
{%- endfor %}
{% endif %}
  example.oraclevcn.com = <ad-realm>
 
[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log
 
[realms]
  {{realm}} = {
{%- if master_kdc %}
    master_kdc = {{master_kdc|trim()}}
{%- endif -%}
{%- if kdc_hosts > 0 -%}
{%- set kdc_host_list = kdc_hosts.split(',')  -%}
{%- if kdc_host_list and kdc_host_list|length > 0 %}
    admin_server = {{admin_server_host|default(kdc_host_list[0]|trim(), True)}}
{%- if kdc_host_list -%}
{%- if master_kdc and (master_kdc not in kdc_host_list) %}
    kdc = {{master_kdc|trim()}}
{%- endif -%}
{% for kdc_host in kdc_host_list %}
    kdc = {{kdc_host|trim()}}
{%- endfor -%}
{% endif %}
{%- endif %}
{%- endif %}
  }
 
{# Append additional realm declarations below #}
  <ad-realm> = {
    admin_server = server-example.oraclevcn.com:749
    kdc = kdc-example.oraclevcn.com:88
    default_domain = domain-example.oraclevcn.com
  }
 
[capaths]
<ad-realm> = {
<your-local-realm> = .
}

Enregistrez la configuration et redémarrez tous les services concernés.
Accédez à HDFS > Configurations > Avancé > core-site avancé.

Modifiez le paramètre hadoop.security.auth_to_local comme suit :

RULE:[1:$1@$0](.*@<ad-realm>)s/@.*//

Exemple :

RULE:[2:$1@$0](yarn@EXAMPLE.ORACLE.COM)s/.*/yarn/
RULE:[2:$1@$0](yarn-ats-hbase@EXAMPLE.ORACLE.COM)s/.*/yarn-ats/
RULE:[1:$1@$0](.*@EXAMPLE.REALM)s/@.*//
DEFAULT

Configuration de la confiance entre domaines

Vous pouvez configurer une sécurisation inter-domaine unidirectionnelle à partir d'un centre de distribution de clés local vers le domaine Active Directory dans un cluster ODH Big Data Service prenant en charge Kerberos.

Configuration du serveur Active Directory

Pour définir le type de cryptage préféré dans le serveur Active Directory (AD), ouvrez la boîte de dialogue Gestion des stratégies de groupe (Start > Windows Administrative Tools Group Policy Management).
Dans la fenêtre Gestion des stratégies de groupe, accédez au dossier Forêt : <ad-realm> > Domaines > <ad-realm>.
Cliquez avec le bouton droit de la souris sur Stratégie de domaine par défaut, puis sélectionnez Modifier.
Dans l'éditeur de gestion des stratégies du groupe, accédez aux options de sécurité en développant Configuration ordinateur > Stratégies > Paramètres de Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
Assurez-vous que le dossier Options de sécurité est sélectionné, puis cliquez deux fois sur la stratégie Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos.
Configurez le type de cryptage requis autorisé pour Kerberos à partir de la boîte de dialogue. Nous vous recommandons d'utiliser le type de cryptage Le plus puissant pris en charge sur Big Data Service, à savoirAES256_HMAC_SHA1. Sélectionnez la stratégie, puis OK.

Définissez le cryptage sur la ligne de commande en ajoutant la sécurisation de domaine local à Active Directory.

netdom trust <your-local-realm> /Domain:<ad-realm> /add /realm /passwordt:<trust-password>

Exemple :

C:\Users\administrator> netdom trust EXAMPLE.ORACLE.COM /Domain:EXAMPLE.REALM /add /realm /passwordt:Welcome1
> The command completed successfully.

Définissez le type de cryptage approprié.

ksetup /SetEncTypeAttr <your-local-realm> <enc_type>

Le paramètre <enc_type> spécifie le cryptage AES, DES ou RC4. Sélectionnez une valeur dans le tableau suivant :

Nom de cryptage utilisé par la stratégie de cryptage AD	Nom de cryptage pris en charge par ksetup:setenctypeattr
DES_CBC_CRC	DES-CBC-CRC
DES_CBC_MD5	DES-CBC-MD5
RC4_HMAC_MD5	RC4-HMAC-MD5
AES128_HMAC_SHA1	AES128-CTS-HMAC-SHA1-96
AES256_HMAC_SHA1	AES256-CTS-HMAC-SHA1-96

Exemple :

C:\Users\Administrator> ksetup /SetEncTypeAttr EXAMPLE.ORACLE.COM AES256-CTS-HMAC-SHA1-96
> Setting enctypes for domain EXAMPLE.ORACLE.COM to:AES256-CTS-HMAC-SHA1-96

Vérifiez la liste des types de cryptage définis.

ksetup /GetEncTypeAttr <your-local-realm>

Exemple :

C:\Users\administrator> ksetup /GetEncTypeAttr EXAMPLE.ORACLE.COM
> Enctypes for domain EXAMPLE.ORACLE.COM: AES256-CTS-HMAC-SHA1-96

Configuration du serveur de centre de distribution de clés MIT maître

Exécutez la commande suivante en tant qu'utilisateur root sur le centre de distribution de clés maître, situé sur le premier noeud maître (mn0) du cluster Big Data Service.
```
kadmin.local
```

Ajoutez le principal krbtgt inter-domaine.

kadmin.local: addprinc -e "<enc_type_list>" krbtgt/<your-local-realm>@<ad-realm>

Vous êtes invité à saisir un mot de passe. Utilisez le même mot de passe que dans la commande netdom sur le serveur Active Directory.

Exemple :

kadmin.local: addprinc -e "aes256-cts:normal" krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>
> WARNING: no policy specified for krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>; defaulting to no policy
> Enter password for principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>":
> Re-enter password for principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>":
> Principal "krbtgt/<EXAMPLE_USER>@<EXAMPLE.REALM>" created.

Remarque

Le type de cryptage sur Big Data Service applique une convention de dénomination différente du serveur Active Directory. Par exemple, si AES256-CTS-HMAC-SHA1-96 est utilisé sur le serveur Active Directory, le type correspondant sur Big Data Service est aes256-cts:normal.

Documentation Oracle Cloud Infrastructure

Configuration de l'authentification Kerberos à l'aide du centre de distribution de clés local et du centre de distribution de clés Active Directory

Mise à jour d'Ambari pour utiliser le KDC Active Directory

Configuration de la confiance entre domaines

Configuration du serveur Active Directory

Configuration du serveur de centre de distribution de clés MIT maître