Configuration de l'authentification Kerberos à l'aide du centre de distribution de clés Active Directory uniquement (recommandé)
Configurez l'authentification Kerberos à l'aide du centre de données Active Directory uniquement pour Big Data Service.
Le cluster Big Data Service provisionne le KDC MIT local par défaut. L'assistant Kerberos peut être utilisé pour désactiver le KDC et activer le KDC Active Directory.
Activation de Kerberos à l'aide d'Active Directory existant
Activez Kerberos à l'aide d'Active Directory existant sur un cluster Big Data Service.
Utilisez l'une des options suivantes :
Utilisation de l'utilitaire enable_activedirectory (recommandé)
Utilisez cette option pour Big Data Service 3.0.27 et versions ultérieures.
Utilisation d'Ambari
Désactivation de Kerberos
Cela s'applique aux clusters sur lesquels Kafka et Ranger Services sont installés. La désactivation de Kerberos sur un cluster sécurisé/HA doit être effectuée de manière appropriée pour éviter l'échec de la vérification du service Kafka. Utilisez l'une des approches suivantes.
Désactivation du centre de distribution de clés
Pour configurer le KDC Active Directory, vous devez d'abord désactiver le KDC MIT.
Si le plug-in Kafka Ranger est installé, suivez les étapes pour désactiver Kerberos à la place.
- Accédez à Apache Ambari.
- Dans la barre d'outils latérale, sous Administration du cluster, sélectionnez Kerberos.
- Sélectionnez Disable Kerberos.
- Suivez l'assistant Désactiver Kerberos, puis sélectionnez Terminé.
Désactivation du KDC lors de l'installation du module d'extension Kafka Ranger
Méthode 1 (recommandée)
Si Kerberos est activé, alors :
- Désactivez le plugin Kafka Ranger à partir d'Ambari :
- Connectez-vous à Ambari.
- Dans la barre d'outils latérale, sous Services, sélectionnez Ranger.
- Sélectionnez Configuration, puis Module d'extension Ranger.
- Désactivez Kerberos.
- Activez le module d'extension Kafka Ranger si nécessaire.
Méthode 2
Si Kerberos est actuellement activé et que vous ne voulez pas désactiver le module d'extension Ranger Kafka, procédez comme suit :
- Accédez à Ranger et aux stratégies du service Kafka.
- Ajoutez le groupe public aux stratégies all - topic et all - cluster. Si, pour une raison quelconque, ces stratégies n'existent pas, créez-les. L'objectif est d'accorder aux groupes publics l'accès à toutes les ressources de sujet et de cluster nécessaires à la vérification du service Kafka.
- Désactivez Kerberos.
- Supprimez les groupes publics ajoutés ci-dessus.
Méthode 3
Si Kerberos est déjà désactivé et que la vérification du service Kafka a déjà échoué, procédez comme suit :
- Désactivez le plugin Kafka Ranger comme mentionné dans la méthode 1.
- Redémarrez le service Kafka selon vos besoins.
- Activer le module d'extension Kafka Ranger
L'accès du groupe Public à la stratégie all - topic est requis pour la vérification du service Kafka (Kafka > Actions > Run Service Check) après la désactivation de Kerberos.