Documentação do Oracle Cloud Infrastructure

Configurar Web Browser

Configure navegadores da Web para clusters do Big Data Service ativados para Kerberos.

Após concluir todas as tarefas, o WebUIs seguro no cluster estará acessível no sistema cliente Windows.

Configurando o Navegador da Web para Acessar o Console da Web do Oozie ou Qualquer Outro WebUIs

Estas etapas se aplicam ao Windows OS e Mac com o Mozilla Firefox para acessar WebUIs protegido pelo Kerberos HTTP SPNEGO.
  1. Abra a página de configuração do Firefox de baixo nível carregando a página about:config.
  2. Selecione o aviso de garantia para entrar na página de configuração do Firefox.
  3. Na caixa Pesquisar:, digite network.negotiate-auth.trusted-uris.
  4. Selecione network.negotiate-auth.trusted-uris e informe o FQDN do host que suporta a atribuição na qual o WebUI é iniciado.
    • Se o NameNode WebUI estiver sendo iniciado, informe o FDQN dos servidores com a atribuição NameNode.
    • Se o ResourceManger WebUI estiver sendo iniciado, informe o FQDN dos servidores com a atribuição ResourceManager.
    • Se outros nomes de host já estiverem nesse campo, crie uma lista de FQDNs separados por vírgulas para os hosts.
    • Outra opção é informar o nome de domínio dos hosts com as atribuições que suportam o WebUIs de interesse. Por exemplo, .<DOMAIN>. Por exemplo, .example.com. Separe vários domínios e nomes de host com uma vírgula.
  5. Selecione OK.
  6. Procure a propriedade network.auth.use-sspi na caixa de pesquisa.
    Observação

    O SSPI deve ser desativado ao usar o MIT Kerberos porque o SSPI é nativo de ambientes Windows e pode não oferecer um mecanismo de autenticação equivalente para ambientes MIT Kerberos.
  7. Selecione a propriedade para alternar o valor para Falso.
  8. As seguintes atualizações opcionais também podem ser necessárias na página de configuração do Firefox. Por exemplo, a página about:config. Execute as etapas anteriores de 1 a 7 para cada uma.
    • network.negotiate-auth.delegation-uris
      1. Liste os sites para os quais o navegador pode delegar autorização de usuário ao servidor.
      2. Atualize com o domínio (.<DOMAIN>) dos sites que o browser pode delegar a autorização do usuário ao servidor. (Por exemplo: .example.com)
    • network.negotiate-auth.using-native-gsslib
      1. Para usar a biblioteca GSSAPI padrão, defina como False.
    • network.negotiate-auth.allow-non-fqdn

      Para aceitar nomes de domínio de serviço em vez de FQDNs, defina como True.

  9. Quando as alterações forem concluídas, reinicie o navegador Firefox. Você deve reiniciar todas as janelas abertas do Firefox. Concluída a configuração do Firefox para SPNEGO.

Instalando um cliente Kerberos

Essas etapas se aplicam somente ao Windows.
  1. Baixe o MIT Kerberos para Windows em:

    http://web.mit.edu/kerberos/dist/

  2. Faça download do arquivo de instalação msi e selecione o arquivo para iniciar o assistente de configuração
  3. Selecione Próximo e aceite o acordo de licença.
  4. Selecione Próximo e, em seguida, Configuração Típica.
    Recomendamos isso para a maioria dos usuários.
  5. Selecione Próximo.
  6. Para iniciar a instalação, selecione Instalar.
  7. Quando a instalação for concluída, selecione Finalizar.

Configurando o Arquivo de Cache de Credenciais do Kerberos

Essas etapas são apenas para Windows.
  1. Crie C:\temp na máquina Windows.
  2. Navegue até Painel de Controle > Todos os Itens do Painel de Controle > Sistema.
  3. Selecione Configurações avançadas do sistema e, na guia Avançado, Variáveis de Ambiente.
  4. Crie a nova variável de ambiente KRB5CCNAME em Variáveis do sistema se ela não existir.
    Por exemplo:
    Variable name : "KRB5CCNAME"
Variable Value : C:\temp\krb5cache
    Observação

    É possível criar uma variável de ambiente em Variáveis do usuário ou Variáveis do sistema. No entanto, KRB5CCNAME deve ser criado em Variáveis do sistema.
  5. Para salvar a nova variável e fechar todas as janelas abertas, selecione OK.
    Observação

    Não reinicie o sistema neste ponto.

Definindo o Arquivo de Configuração do Kerberos para Windows

  1. Copie /etc/krb5.conf de um host mestre do cluster para o sistema Windows.
  2. Renomeie krb5.ini e copie-o para C:\ProgramData\MIT\Kerberos5.
  3. Confirme se a variável de ambiente KRB5_CONFIG está definida corretamente. Faça atualizações conforme necessário.

    KRB5_CONFIG deve apontar para o local de krb5.ini.

    1. No sistema Windows, navegue até Painel de Controle > Sistema.
    2. Selecione Configurações avançadas do sistema e, na guia Avançado, selecione Variáveis de Ambiente.
    3. Crie a nova variável de ambiente KRB5_CONFIG em Variáveis do sistema se ela não existir.
      Por exemplo:
      Variable name : "KRB5_CONFIG"
Variable Value : C:\ProgramData\MIT\Kerberos5\krb5.ini
      Observação

      É possível criar uma variável de ambiente em Variáveis do usuário ou Variáveis do sistema. No entanto, KRB5_CONFIG deve ser criado em Variáveis do sistema.
    4. Para salvar a nova variável e fechar todas as janelas abertas, selecione OK.
  4. Adicione todos os nós principais do cluster e do utilitário ao arquivo de hosts no cliente Windows atualizando C:\Windows\System32\Drivers\etc\hosts com os endereços IP públicos dos nós principais.
  5. Para concluir as atualizações da variável de ambiente, reinicie o sistema Windows.

Definindo o Arquivo de Configuração do Kerberos em um Mac

  1. Copie /etc/krb5.conf de um host mestre do cluster para o sistema Mac.
  2. Adicione todos os nós principais do cluster e do utilitário a /etc/hosts no cliente Mac atualizando /etc/hosts com os endereços IP públicos dos nós principais.

Obtendo o Ticket Kerberos

Obtendo o Ticket Kerberos no Cliente Windows (Opção 1)

Há duas maneiras de autenticar o ticket do Kerberos em um cliente Windows. Esta é a primeira opção. Consulte Obtendo o Ticket Kerberos no Cliente Windows (Opção 2) para a opção 2.
  1. Em um sistema Windows, selecione Iniciar e, em seguida, abra o software 'MIT Kerberos Ticket Manager' para obter uma lista de programas.
  2. Selecione Obter Ticket.
  3. Informe o nome principal e a senha do Kerberos.
  4. Salve o nome do usuário e a senha.

    O tíquete é visível na ferramenta Gerenciador de tíquetes.

Obtendo o Ticket Kerberos no Cliente Windows (Opção 2)

Há duas maneiras de autenticar o ticket do Kerberos em um cliente Windows. Esta é a segunda opção. Consulte Obtendo o Ticket Kerberos no Cliente Windows (Opção 1) para a opção 1.
  1. Autentique o principal do Kerberos usando o keytab recém-criado: 
    >C:\"Program Files\MIT\Kerberos\bin\kinit.exe -kt <PATH>\<KEREROS_PRINCIPAL>.keytab <KERBEROS_PRINCIPAL>
  2. Verifique se um ticket válido foi criado. Exemplo de saída bem-sucedida: 
    >C:\"Program Files"\MIT\Kerberos\bin\klist.exe
Ticket cache: FILE:C\temp\krb5cache
Default principal: <KERBEROS_PRINCIPAL>@<REALM>

Valid starting Expires Service principal
11/01/22 08:26:58 11/02/22 08:26:58 krbtgt/<DOMAIN>@<REALM>
renew until 11/08/22 07:26:58

Obtendo o Bilhete Kerberos em um Mac

  1. Obtenha o nome do princípio usando: 
    # klist -kt <KEYTAB>
  2. Crie um token na máquina cliente. 
    # kinit -kt <KEYTAB> <PRINCIPLE_NAME>

Ativando a Console Web do Oozie

A ativação da console Web do Oozie em um cluster ODH ativado para Kerberos requer etapas adicionais.