Documentação do Oracle Cloud Infrastructure

Configurando a Autenticação do Apache Ranger com o LDAP/Active Directory

Os usuários autorizados do Active Directory devem ser configurados para obter acesso aos serviços e recursos fornecidos em um cluster de serviços do Big Data. Para fazer isso, o Apache Ranger deve ser configurado para que os usuários do Active Directory possam ser sincronizados com o Apache Ranger no Big Data Service. Adicionalmente, os usuários podem querer acessar a interface do usuário do Apache Ranger como usuários do Active Directory.

Configurando o Ranger UserSync

A configuração do Ranger UserSync permite que você execute a sincronização de usuário baseada em grupo no servidor do Active Directory. Os grupos e usuários do Active Directory em grupos específicos são sincronizados no Ranger.

  1. Acesse o Apache Ambari.
  2. Na barra de ferramentas lateral, em Serviços, selecione Ranger.
  3. Selecione Configurações e, em seguida, Informações do Usuário do Ranger.
  4. Defina Ativar Sincronização do Usuário como Sim.
  5. Selecione LDAP/AD no menu suspenso Origem da Sincronização.
  6. Selecione Configurações Comuns.
    1. Informe o seguinte:
      • URL LDAP/AD: Informe o URL LDAP/AD.
      • Usuário de Associação: Especifique as informações do usuário de associação. Por exemplo, CN=Administrator,CN=Users,DC=<domain_controller>,DC=COM.
      • Vincular Senha do Usuário Informe e confirme a senha.
    2. Defina Sincronização Incremental como Verdadeiro.
    3. Defina Ativar LDAP STARTTLS como Não.
  7. Selecione Configurações do Usuário.
    1. Informe o seguinte com base na configuração LDAP:
      • Atributo de Nome de Usuário: Informe o atributo de nome de usuário LDAP. Por exemplo, sAMAccountName.
      • Classe de Objeto de Usuário: Informe o nome de usuário da classe de objeto.
      • Base de Pesquisa de Usuário: Forneça o DN (Nome Distinto) em que a pesquisa de contas de usuário deve começar. O DN especifica o ponto inicial na hierarquia LDAP do Ranger UserSync para localizar usuários.

        Exemplos:

        • Para uma única Unidade Organizacional (OU):

          Se a OU de destino for ParentOU no domínio example.com:
          • OU=ParentOU,DC=example,DC=com

        • Para uma hierarquia OU aninhada:

          Se a OU de destino for ChildOU em ParentOU no domínio example.com:
          • OU=ChildOU,OU=ParentOU,DC=example,DC=com

        • Várias OUs:

          Para pesquisar várias OUs, separe-as com um ponto e vírgula (;):
          • OU=ParentOU1,DC=exemplo,DC=com;OU=ParentOU2,DC=exemplo,DC=com
      • Filtro de Pesquisa do Usuário: Informe os filtros de pesquisa. Esta é a expressão de filtro LDAP padrão. Você pode especificar para filtrar usuários em um grupo específico. Consulte Sintaxe de filtro LDAP. Este campo pode permanecer vazio.
      • Escopo de Pesquisa de Usuário: Digite sub.
      • Atributo de Nome de Grupo de Usuários: Informe os atributos de nome de grupo. Por exemplo, memberof,ismemberof.
    2. Defina Sincronização do Mapa do Usuário do Grupo como Verdadeiro.
    3. Defina Ativar Pesquisa de Usuário como Sim.
  8. Para sincronizar o grupo, selecione Configurações de Grupo.
    1. Defina Ativar Sincronização de Grupo como Sim. Se você não quiser sincronizar o grupo, selecione Não e continue na etapa a seguir.
    2. Informe o seguinte:
      • Atributo de Membro de Grupo: Informe os atributos de membro de grupo LDAP. Por exemplo, membro.
      • Atributo do Nome do Grupo: Informe os atributos do nome do grupo. Por exemplo,cn
      • Classe de Objeto de Grupo: Informe a classe de objeto de grupo. Por exemplo, group.
      • Base de Pesquisa de Grupo: Informe o nome de domínio completo do contêiner no qual seu grupo reside.

        Esse texto é igual ao campo Base de Pesquisa do Usuário na guia Configurações do Usuário.

      • Filtro de Pesquisa de Grupo: Informe os filtros de pesquisa de grupo do Active Directory. Por exemplo, (|(CN=group1)(CN=group2)(CN=*admin))
        Observação

        Este filtro é a expressão de filtro LDAP padrão. Consulte sintaxe de filtro LDAP.
    3. Defina Ativar Pesquisa de Grupo Primeiro como Sim.
    4. Defina Sincronizar Grupos Aninhados como Sim.
  9. Para salvar a configuração e reiniciar o serviço Ranger User Sync, selecione Save.
  10. Aguarde até que o serviço Ranger User Sync esteja ativo e em execução sem erros.

Configurando a Autenticação do Active Directory para o Ranger

  1. Acesse o Apache Ambari.
  2. Na barra de ferramentas lateral, em Serviços, selecione Ranger.
  3. Selecione Configurações e, em seguida, Avançado.
  4. Selecione Definições do Ranger.
  5. Selecione ACTIVE_DIRECTORY para o Método de autenticação.
  6. Informe as seguintes Definições do AD:
    • URL do AD: Informe o URL do Active Directory
    • DN de Bind do AD: Informe o DN do Active Directory
    • Senha de Bind do AD: Informe e confirme a senha de bind do Active Directory. Por exemplo, <AD_BIND_USER_PWD>
    • DN Base do AD: Informe o nome do domínio do Active Directory. Por exemplo, <AD_SEARCH_BASE>
    • Indicação do AD: Selecione Ignorar
    • Filtro de Pesquisa de Usuário do AD: Informe o atributo de nome de usuário do Active Directory. Por exemplo, (sAMAccountName={0})
  7. Para salvar a configuração e reiniciar o serviço Ranger Admin, selecione Salvar.
  8. Aguarde até que o serviço Ranger Admin esteja ativo e em execução sem erros.
  9. Validar configuração:
    1. Acesse o Ranger usando as credenciais de administrador do cluster.
    2. Selecione qualquer política de serviço e, na coluna Selecionar Usuário, os usuários do Active Directory são listados que podem ter políticas de autorização aplicadas. Se a lista suspensa de usuários mostrar apenas um conjunto limitado de usuários do Active Directory, consulte A Lista Suspensa da IU do Ranger Não Lista Todos os Usuários Sincronizados,
    3. Acesse o nó do cluster e execute:
      kinit <user>@<ad-realm>
    4. Verifique se o ticket foi concedido para o usuário do Active Directory. Execução:
      klist

      Saída do Exemplo:

      Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: <user>@<ad-realm>
Valid starting       Expires              Service principal
09/01/2021 20:44:07  09/02/2021 06:44:07  krbtgt/<ad-realm>@<ad-realm>
renew until 09/08/2021 20:44:04
    5. Vá para o serviço Hadoop e verifique se você pode acessar recursos.