Documentação do Oracle Cloud Infrastructure

Configurar Autenticação do Kerberos Usando Somente o KDC do Active Directory (Recomendado)

Configure a autenticação do Kerberos usando o KDC do Active Directory somente para o Big Data Service.

O cluster do Big Data Service provisiona o MIT KDC local por padrão. O assistente do Kerberos pode ser usado para desativar o KDC e ativar o KDC do Active Directory.

Ativando o Kerberos com o Active Directory Existente

Ative o Kerberos usando o Active Directory existente em um cluster do Big Data Service.

Use uma das seguintes opções:

Usando o Utilitário enable_activedirectory (recomendado)

Observação

Use esta opção para o Big Data Service 3.0.27 e posterior.
Esse utilitário permite ativar o Kerberos usando a integração do Active Directory e LDAP para serviços individuais, incluindo Ambari, Hue, Ranger e JupyterHub.
  1. Conecte-se ao nó un0 por meio de um shell de comando, use o SSH (Secure Shell).
  2. Execute o seguinte comando: 
    sudo enable_activedirectory

    Insira propriedades do Active Directory:

    • Hosts KDC: <AD_SERVER_FQDN>
    • Nome do Realm: <AD_REALM_NAME>
    • URL LDAP: ldaps://<AD_FQDN>:636 ou ldap://<AD_FQDN>:389
    • DN do Contêiner: <AD_SEARCH_BASE>
    • Host kadmin: <AD_FQDN>:749
    • Princípio de administração: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Senha de administrador: <AD_BIND_USER_PWD>
    • DN de Administrador: CN=<username>,CN=Users,DC=<XXX>,DC=<YYY>,DC=<ZZZ>

Usando o Ambari

  1. Acesse o Apache Ambari.
  2. Na barra de ferramentas lateral, em Administrador do Cluster, selecione Kerberos.
  3. Selecione Ativar Kerberos e execute as seguintes ações:
    1. Em Que tipo de KDC você planeja usar?, selecione Active Directory Existente.
    2. Em Active Directory Existente, marque todas as caixas de seleção.
    3. Selecione Próximo.
  4. Configure o Kerberos da seguinte forma:
    1. Insira propriedades do Active Directory:
      • Hosts KDC: <AD_SERVER_FQDN>
      • Nome do Realm: <AD_REALM_NAME>
      • URL LDAP: ldaps://<AD_FQDN>:636 ou ldap://<AD_FQDN>:389
      • DN do Contêiner: <AD_SEARCH_BASE>
      • Host kadmin: <AD_FQDN>:749
      • Princípio de administração: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Senha de administrador: <AD_BIND_USER_PWD>
    2. Selecione Salvar Credenciais Admin.
    3. Selecione Próximo.
  5. Após a instalação e o teste bem-sucedidos do serviço Kerberos, selecione Next.
  6. Para configurar identidades, aceite os valores padrão e selecione Próximo.
  7. Confirmar a configuração:
    1. (Opcional) Para fazer download de um arquivo CSV dos princípios e guias de chave que o Apache Ambari criou, selecione Fazer Download de CSV.
    2. Revise a configuração e selecione Próximo.
  8. Iniciar e testar serviços.
    Se você receber erros, poderá executar os testes novamente selecionando Repetir.
  9. Selecione Concluído.

Desativando o Kerberos

Isso se aplica aos clusters que têm o Kafka e o Ranger Services instalados. A desativação do Kerberos em um cluster seguro/HA deve ser feita de forma apropriada para evitar uma falha na verificação do serviço Kafka. Use uma das seguintes abordagens.

Desativando o KDC

Para configurar o KDC do Active Directory, primeiro desative o KDC do MIT.

Importante

Se o plug-in do Kafka Ranger estiver instalado, siga as etapas para desativar o Kerberos.
  1. Acesse o Apache Ambari.
  2. Na barra de ferramentas lateral, em Administrador do Cluster, selecione Kerberos.
  3. Selecione Desativar Kerberos.
  4. Siga o assistente para Desativar Kerberos e selecione Concluído.

Desativando o KDC quando o Plug-in do Kafka Ranger é Instalado

Método 1 (recomendado)

Se o Kerberos estiver ativado, então:

  1. Desative o plug-in Kafka Ranger do Ambari:
    1. Entre no Ambari.
    2. Na barra de ferramentas lateral, em Serviços, selecione Ranger.
    3. Selecione Configurações e Plug-in de Ranger.
  2. Desative o Kerberos.
  3. Ative o plug-in do Kafka Ranger se necessário.

Método 2

Se o Kerberos estiver ativado no momento e você não quiser desativar o plug-in do ranger Kafka, então:

  1. Vá para Ranger e navegue até as políticas do Kafka Service.
  2. Adicione o grupo público a todos - tópicos e todos - políticas de cluster. Se por algum motivo essas políticas não existirem, crie-as. O objetivo é conceder acesso de grupo público a todos os recursos de tópico e cluster necessários para a verificação do serviço Kafka.
  3. Desative o Kerberos.
  4. Remova os grupos públicos que foram adicionados acima.

Método 3

Se o Kerberos já estiver desativado e a verificação de serviço do Kafka já tiver falhado, então:

  1. Desative o plug-in Kafka Ranger conforme mencionado no Método 1.
  2. Reinicie o serviço Kafka conforme necessário.
  3. Ativar o plug-in Kafka Ranger
Observação

O acesso do grupo Público à política all - topic é necessário para a verificação do serviço Kafka (Kafka > Ações > Executar Verificação de Serviço) após a desativação do Kerberos.