Configuration de l'authentification Kerberos à l'aide du centre de distribution de clés Active Directory uniquement (recommandé)

Configurez l'authentification Kerberos à l'aide du centre de données Active Directory uniquement pour Big Data Service.

Le cluster Big Data Service provisionne le KDC MIT local par défaut. L'assistant Kerberos peut être utilisé pour désactiver le KDC et activer le KDC Active Directory.

Activation de Kerberos à l'aide d'Active Directory existant

Activez Kerberos à l'aide d'Active Directory existant sur un cluster Big Data Service.

Utilisez l'une des options suivantes :

Utilisation de l'utilitaire enable_activedirectory (recommandé)

Remarque

Utilisez cette option pour Big Data Service 3.0.27 et versions ultérieures.
Cet utilitaire vous permet d'activer Kerberos à l'aide de l'intégration Active Directory et LDAP pour des services individuels, notamment Ambari, Hue, Ranger et JupyterHub.
  1. Connectez-vous au noeud un0 via un shell de commande, à l'aide de SSH (Secure Shell).
  2. Exécutez la commande suivante :
    sudo enable_activedirectory

    Entrez les propriétés Active Directory :

    • Hôtes KDC : <AD_SERVER_FQDN>
    • Nom de domaine : <AD_REALM_NAME>
    • URL LDAP : ldaps://<AD_FQDN>:636 ou ldap://<AD_FQDN>:389
    • DN du conteneur : <AD_SEARCH_BASE>
    • Hôte Kadmin : <AD_FQDN> :749
    • Principe d'administration : <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Mot de passe d'administrateur : <AD_BIND_USER_PWD>
    • DN d'administration : CN=<username>,CN=Users,DC=<XXX>,DC=<YYY>,DC=<ZZZ>

Utilisation d'Ambari

  1. Accédez à Apache Ambari.
  2. Dans la barre d'outils latérale, sous Administration du cluster, sélectionnez Kerberos.
  3. Sélectionnez Activer Kerberos, puis effectuez les actions suivantes :
    1. Sous Quel type de KDC prévoyez-vous d'utiliser ?, sélectionnez Active Directory existant.
    2. Sous Active Directory existant, cochez toutes les cases.
    3. Sélectionnez Suivant.
  4. Configurez Kerberos comme suit :
    1. Entrez les propriétés Active Directory :
      • Hôtes KDC : <AD_SERVER_FQDN>
      • Nom de domaine : <AD_REALM_NAME>
      • URL LDAP : ldaps://<AD_FQDN>:636 ou ldap://<AD_FQDN>:389
      • DN du conteneur : <AD_SEARCH_BASE>
      • Hôte Kadmin : <AD_FQDN> :749
      • Principe d'administration : <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Mot de passe d'administrateur : <AD_BIND_USER_PWD>
    2. Sélectionnez Enregistrer les informations d'identification d'administration.
    3. Sélectionnez Suivant.
  5. Une fois que le service Kerberos a été installé et testé, sélectionnez Next.
  6. Pour configurer les identités, acceptez les valeurs par défaut et sélectionnez Suivant.
  7. Vérifiez la configuration :
    1. (Facultatif) Pour télécharger un fichier CSV des principes et des onglets de clé créés par Apache Ambari, sélectionnez Télécharger le fichier CSV.
    2. Vérifiez la configuration, puis sélectionnez Suivant.
  8. Démarrer et tester les services.
    Si vous recevez des erreurs, vous pouvez réexécuter les tests en sélectionnant Réessayer.
  9. Sélectionnez Terminé.

Désactivation de Kerberos

Cela s'applique aux clusters sur lesquels Kafka et Ranger Services sont installés. La désactivation de Kerberos sur un cluster sécurisé/HA doit être effectuée de manière appropriée pour éviter l'échec de la vérification du service Kafka. Utilisez l'une des approches suivantes.

Désactivation du centre de distribution de clés

Pour configurer le KDC Active Directory, vous devez d'abord désactiver le KDC MIT.

Important

Si le plug-in Kafka Ranger est installé, suivez les étapes pour désactiver Kerberos à la place.
  1. Accédez à Apache Ambari.
  2. Dans la barre d'outils latérale, sous Administration du cluster, sélectionnez Kerberos.
  3. Sélectionnez Disable Kerberos.
  4. Suivez l'assistant Désactiver Kerberos, puis sélectionnez Terminé.

Désactivation du KDC lors de l'installation du module d'extension Kafka Ranger

Méthode 1 (recommandée)

Si Kerberos est activé, alors :

  1. Désactivez le plugin Kafka Ranger à partir d'Ambari :
    1. Connectez-vous à Ambari.
    2. Dans la barre d'outils latérale, sous Services, sélectionnez Ranger.
    3. Sélectionnez Configuration, puis Module d'extension Ranger.
  2. Désactivez Kerberos.
  3. Activez le module d'extension Kafka Ranger si nécessaire.

Méthode 2

Si Kerberos est actuellement activé et que vous ne voulez pas désactiver le module d'extension Ranger Kafka, procédez comme suit :

  1. Accédez à Ranger et aux stratégies du service Kafka.
  2. Ajoutez le groupe public aux stratégies all - topic et all - cluster. Si, pour une raison quelconque, ces stratégies n'existent pas, créez-les. L'objectif est d'accorder aux groupes publics l'accès à toutes les ressources de sujet et de cluster nécessaires à la vérification du service Kafka.
  3. Désactivez Kerberos.
  4. Supprimez les groupes publics ajoutés ci-dessus.

Méthode 3

Si Kerberos est déjà désactivé et que la vérification du service Kafka a déjà échoué, procédez comme suit :

  1. Désactivez le plugin Kafka Ranger comme mentionné dans la méthode 1.
  2. Redémarrez le service Kafka selon vos besoins.
  3. Activer le module d'extension Kafka Ranger
Remarque

L'accès du groupe Public à la stratégie all - topic est requis pour la vérification du service Kafka (Kafka > Actions > Run Service Check) après la désactivation de Kerberos.