Documentazione di Oracle Cloud Infrastructure

Configurare l'autenticazione Kerberos utilizzando solo il KDC Active Directory (consigliato)

Configurare l'autenticazione Kerberos utilizzando il KDC Active Directory solo per il servizio Big Data.

Per impostazione predefinita, il cluster Big Data Service esegue il provisioning del KDC MIT locale. È possibile utilizzare la procedura guidata Kerberos per disabilitare il KDC e abilitare il KDC Active Directory.

Abilitazione di Kerberos mediante Active Directory esistente

Abilitare Kerberos utilizzando Active Directory esistente in un cluster Big Data Service.

Utilizzare una delle seguenti opzioni:

Utilizzo della utility enable_activedirectory (consigliato)

Nota

Utilizzare questa opzione per Big Data Service 3.0.27 e versioni successive.
Questa utility consente di abilitare Kerberos mediante l'integrazione Active Directory e LDAP per singoli servizi, inclusi Ambari, Hue, Ranger e JupyterHub.
  1. Connettersi al nodo un0 tramite una shell dei comandi e utilizzare Secure Shell (SSH).
  2. eseguire il comando seguente: 
    sudo enable_activedirectory

    Immettere le proprietà Active Directory:

    • Host KDC: <AD_SERVER_FQDN>
    • Nome realm: <AD_REALM_NAME>
    • URL LDAP: ldaps://<AD_FQDN>:636 o ldap://<AD_FQDN>:389
    • DN contenitore: <AD_SEARCH_BASE>
    • Host Kadmin: <AD_FQDN>:749
    • Principio di amministrazione: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Password amministratore: <AD_BIND_USER_PWD>
    • DN amministratore: CN=<username>,CN=Utenti,DC=<XXX>,DC=<YYY>,DC=<ZZZ>

Utilizzo di Ambari

  1. Accedi ad Apache Ambari.
  2. Nella barra degli strumenti laterale, in Amministratore cluster selezionare Kerberos.
  3. Selezionare Abilita Kerberos ed eseguire le azioni riportate di seguito.
    1. In Quale tipo di KDC si intende utilizzare?, selezionare Active Directory esistente.
    2. In Active Directory esistente selezionare tutte le caselle di controllo.
    3. Selezionare Next.
  4. Configurare Kerberos come indicato di seguito.
    1. Immettere le proprietà Active Directory:
      • Host KDC: <AD_SERVER_FQDN>
      • Nome realm: <AD_REALM_NAME>
      • URL LDAP: ldaps://<AD_FQDN>:636 o ldap://<AD_FQDN>:389
      • DN contenitore: <AD_SEARCH_BASE>
      • Host Kadmin: <AD_FQDN>:749
      • Principio di amministrazione: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Password amministratore: <AD_BIND_USER_PWD>
    2. Selezionare Salva credenziali amministratore.
    3. Selezionare Next.
  5. Dopo aver installato e sottoposto a test il servizio Kerberos, selezionare Next.
  6. Per configurare le identità, accettare i valori predefiniti e selezionare Successivo.
  7. Verificare la configurazione:
    1. (Facoltativo) Per scaricare un file CSV dei principi e delle tabelle chiave creati da Apache Ambari, selezionare Scarica CSV.
    2. Rivedere la configurazione, quindi selezionare Successivo.
  8. Avvia e verifica i servizi.
    Se si ricevono errori, è possibile eseguire di nuovo i test selezionando Riprova.
  9. Selezionare Complete.

Disabilitazione di Kerberos

Questo vale per i cluster in cui sono installati i servizi Kafka e Ranger. La disabilitazione di Kerberos su un cluster Secure/HA deve essere eseguita in modo appropriato per evitare errori nel controllo del servizio Kafka. Si prega di utilizzare uno dei seguenti approcci.

Disabilitazione del KDC

Per configurare il KDC Active Directory, è necessario prima disabilitare il KDC MIT.

Importante

Se è installato il plugin Kafka Ranger, seguire la procedura per disabilitare Kerberos.
  1. Accedi ad Apache Ambari.
  2. Nella barra degli strumenti laterale, in Amministratore cluster selezionare Kerberos.
  3. Selezionare Disable Kerberos.
  4. Seguire la procedura guidata Disable Kerberos, quindi selezionare Complete.

Disabilitazione del KDC quando è installato il plugin Kafka Ranger

Metodo 1 (consigliato)

Se Kerberos è abilitato, effettuare le operazioni riportate di seguito.

  1. Disattiva il plugin Kafka Ranger da Ambari:
    1. Accedi ad Ambari.
    2. Nella barra degli strumenti laterale, in Servizi selezionare Ranger.
    3. Selezionare Config, quindi Plugin Ranger.
  2. Disabilitare Kerberos.
  3. Abilitare il plugin Kafka Ranger se necessario.

Metodo 2

Se Kerberos è attualmente abilitato e non si desidera disabilitare il plugin Kafka ranger, procedere come segue.

  1. Andare a Ranger e andare ai criteri per il servizio Kafka.
  2. Aggiungere un gruppo pubblico ai criteri all - topic e all - cluster. Se per qualche motivo questi criteri non esistono, crearli. L'obiettivo è concedere ai gruppi pubblici l'accesso a tutti gli argomenti e alle risorse cluster necessarie per il controllo del servizio Kafka.
  3. Disabilitare Kerberos.
  4. Rimuovere i gruppi pubblici aggiunti in precedenza.

Metodo 3

Se Kerberos è già disabilitato e il controllo del servizio Kafka non è riuscito, effettuare le operazioni riportate di seguito.

  1. Disabilitare il plugin Kafka Ranger come indicato nel Metodo 1.
  2. Riavviare il servizio Kafka in base alle esigenze.
  3. Abilita il plugin Kafka Ranger
Nota

L'accesso al gruppo Pubblico per il criterio all - topic è necessario per il controllo del servizio Kafka (Kafka > Azioni > Esegui controllo servizio) dopo aver disabilitato Kerberos.