Kerberos対応クラスタでのWebUIの構成
Kerberos対応ビッグ・データ・サービス・クラスタでAmbari WebUIsにアクセスするためのWebブラウザを構成します。
ノート
Kerberos対応UIにアクセスするには、ブラウザを実行するコンピュータが信頼できるKerberosレルム内にある必要があります。
前提条件
- Ambari WebUIが使用可能であることを確認します。
- ご使用の環境からクラスタ・ホストにアクセスできることを確認します。
- Windowsクライアントで使用されるプリンシパルがクラスタに作成されていることを確認します。これは、WindowsクライアントからクラスタWebUIsにアクセスするために必要です。プリンシパルがまだ存在しない場合:
-
プリンシパルを作成します。
# kadmin.local kadmin.local: addprinc <TESTUSER> - 主体が作成されたのと同じホストに、主体のキータブを作成します。
# kadmin.local kadmin.local: xst -k <TESTUSER>.keytab <TESTUSER>@<REALM> - keytabが正しく作成されたことを確認します。
# kinit -kt <TESTUSER>.keytab <TESTUSER>@<REALM> # klist - keytabをプリファレンスのWindows作業ディレクトリにコピーします。ノート
ODHクラスタでは、キータブを作成することをお薦めします。ただし、テストのために、/etc/security/keytabs/smokeuser.headless.keytabにあるkeytabを使用できます。
-
- サブネット・セキュリティ・ルールを使用して、OCIコンソールでKerberosに必要なポートを開きます。イングレス・ルールの追加を参照し、Kerberos: ポート88 - プロトコルUDPおよびTCPを設定します。
ノート
Macシステムでは、ネットワークでUDPがブロックされている場合は、
Macシステムでは、ネットワークでUDPがブロックされている場合は、
krb5.confファイルでkdc値の前にtcp/を付けて、クライアントがTCPを使用するように強制します。[kdc = tcp/<REALM>.<DOMAIN>:88]