Documentazione di Oracle Cloud Infrastructure

Configurazione dell'autenticazione Apache Ranger con LDAP/Active Directory

Gli utenti autorizzati di Active Directory devono essere configurati per ottenere l'accesso ai servizi e alle risorse forniti in un cluster di servizi Big Data. Per eseguire questa operazione, è necessario configurare Apache Ranger in modo che gli utenti di Active Directory possano essere sincronizzati con Apache Ranger in Big Data Service. Inoltre, gli utenti potrebbero voler accedere all'interfaccia utente di Apache Ranger come utenti di Active Directory.

Configurazione di Ranger UserSync

La configurazione di Ranger UserSync consente di eseguire la sincronizzazione degli utenti basata su gruppi dal server Active Directory. I gruppi e gli utenti di Active Directory in gruppi specifici vengono sincronizzati in Ranger.

  1. Accedi ad Apache Ambari.
  2. Nella barra degli strumenti laterale, in Servizi selezionare Ranger.
  3. Selezionare Config, quindi Informazioni utente responsabile.
  4. Impostare Abilita sincronizzazione utente su .
  5. Selezionare LDAP/AD dal menu a discesa Origine sincronizzazione.
  6. Selezionare Configurazioni comuni.
    1. Inserire:
      • URL LDAP/AD: immettere l'URL LDAP/AD.
      • Associa utente: immettere le informazioni sull'utente di associazione. Ad esempio, CN=Amministratore,CN=Utenti,DC=<domain_controller>,DC=COM.
      • Password utente di autenticazione Immettere e confermare la password.
    2. Impostare Sincronizzazione incrementale su True.
    3. Impostare Enable LDAP STARTTLS su No.
  7. Selezionare Configurazioni utente.
    1. In base alla configurazione LDAP, inserire quanto segue:
      • Attributo nome utente: immettere l'attributo del nome utente LDAP. ad esempio sAMAccountName.
      • Classe oggetto utente: immettere il nome utente della classe oggetto.
      • Base di ricerca utenti: fornire il nome distinto (DN) da cui deve iniziare la ricerca degli account utente. Il DN specifica il punto di partenza nella gerarchia LDAP per il Ranger UserSync per individuare gli utenti.

        Esempi:

        • Per una singola unità organizzativa (UO):

          Se l'unità organizzativa di destinazione è ParentOU nel dominio example.com:
          • OU=ParentOU,DC=example,DC=com

        • Per una gerarchia OU nidificata:

          Se l'unità organizzativa di destinazione è ChildOU in ParentOU nel dominio example.com:
          • OU=ChildOU,OU=ParentOU,DC=example,DC=com

        • Più unità operative:

          Per cercare più unità organizzative, separarle con un punto e virgola (;):
          • OU=ParentOU1,DC=esempio,DC=com;OU=ParentOU2,DC=esempio,DC=com
      • Filtro di ricerca utente: immettere i filtri di ricerca. Questa è l'espressione di filtro LDAP standard. È possibile specificare di filtrare gli utenti in un gruppo specifico. Vedere sintassi del filtro LDAP. Questo campo può rimanere vuoto.
      • Ambito di ricerca utente: immettere sotto.
      • Attributo nome gruppo utenti: immettere gli attributi del nome del gruppo. Ad esempio, memberof,ismemberof.
    2. Impostare Sincronizzazione mappa utente gruppo su True.
    3. Impostare Abilita ricerca utente su .
  8. Per sincronizzare il gruppo, selezionare Configurazioni gruppo.
    1. Impostare Abilita sincronizzazione gruppo su . Se non si desidera sincronizzare il gruppo, selezionare No e continuare con il passo seguente.
    2. Inserire:
      • Attributo membro gruppo: immettere gli attributi dei membri del gruppo LDAP. Ad esempio, membro.
      • Attributo nome gruppo: immettere gli attributi del nome del gruppo. Ad esempio, cn.
      • Classe oggetto gruppo: immettere la classe oggetto gruppo. Ad esempio, group.
      • Base ricerca gruppo: immettere il nome dominio completo del contenitore in cui si trova il gruppo.

        Questo testo è uguale al campo Base di ricerca utente della scheda Configurazioni utente.

      • Filtro ricerca gruppo: immettere i filtri di ricerca dei gruppi di Active Directory. Ad esempio, (|(CN=group1)(CN=group2)(CN=*admin))
        Nota

        Questo filtro è l'espressione di filtro LDAP standard. Vedere sintassi del filtro LDAP.
    3. Impostare Abilita prima ricerca gruppo su .
    4. Impostare Sincronizza gruppi nidificati su .
  9. Per salvare la configurazione e riavviare il servizio Ranger User Sync, selezionare Salva.
  10. Attendere che il servizio Ranger User Sync sia attivo e in esecuzione senza errori.

Configurazione dell'autenticazione Active Directory per Ranger

  1. Accedi ad Apache Ambari.
  2. Nella barra degli strumenti laterale, in Servizi selezionare Ranger.
  3. Selezionare Config, quindi Avanzate.
  4. Selezionare Impostazioni gestore.
  5. Selezionare ACTIVE_DIRECTORY per il metodo di autenticazione.
  6. Impostazioni AD:
    • URL AD: immettere l'URL di Active Directory
    • DN autenticazione AD: immettere il DN Active Directory
    • AD Bind Password: immettere e confermare la password di autenticazione di Active Directory. Ad esempio, <AD_BIND_USER_PWD>
    • DN base AD: immettere il nome del dominio di Active Directory. Ad esempio, <AD_SEARCH_BASE>
    • Referral AD: seleziona Ignora
    • Filtro di ricerca utenti AD: immettere l'attributo nome utente di Active Directory. Ad esempio, (sAMAccountName={0})
  7. Per salvare la configurazione e riavviare il servizio di amministrazione Ranger, selezionare Salva.
  8. Attendere che il servizio Ranger Admin sia attivo e in esecuzione senza errori.
  9. Convalida configurazione:
    1. Collegarsi a Ranger utilizzando le credenziali di amministrazione del cluster.
    2. Selezionare un criterio di servizio qualsiasi. Nella colonna Seleziona utente vengono elencati gli utenti di Active Directory ai quali possono essere applicati criteri di autorizzazione. Se l'elenco a discesa degli utenti mostra solo un set limitato di utenti di Active Directory, vedere L'elenco a discesa dell'interfaccia utente di Ranger non elenca tutti gli utenti sincronizzati.
    3. Collegarsi al nodo cluster ed eseguire le operazioni riportate di seguito.
      kinit <user>@<ad-realm>
    4. Verificare che il ticket sia concesso per l'utente di Active Directory. Esegui:
      klist

      Output di esempio:

      Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: <user>@<ad-realm>
Valid starting       Expires              Service principal
09/01/2021 20:44:07  09/02/2021 06:44:07  krbtgt/<ad-realm>@<ad-realm>
renew until 09/08/2021 20:44:04
    5. Vai al servizio Hadoop e verifica di poter accedere alle risorse.