07-如何为Hue集成AD认证

Fayson

发布于 2018-10-23 03:11:59

2.7K00

代码可运行

文章被收录于专栏：Hadoop实操Hadoop实操

运行总次数：0

代码可运行

温馨提示：如果使用电脑查看图片不清晰，可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github： https://github.com/fayson/cdhproject
提示：代码块部分可以左右滑动查看噢

1.文档编写目的

Fayson在前面的文章《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》和《06-如何为Impala集成AD认证》。本篇文章Fayson主要介绍Hue集成AD认证。

内容概述

1.Hue配置AD认证

2.Hue中配置Hive和Impala

3.总结

测试环境

1.CM和CDH版本为5.15.0

2.集群已启用Kerberos

3.Window Server2012 R2

2.环境准备

这一步主要是在AD中创建两个用户huesuper和hiveadmin两个用户，huesuper为Hue的超级管理员，hiveadmin用户为Hive的超级管理员。

3.Hue配置AD认证

1.登录CM的Web控制台，进入Hue服务配置界面搜索“LDAP”，修改配置如下：

参数	值	说明
身份验证后端	desktop.auth.backend.LdapBackend	选择身份验证方式
LDAP URL	ldap://adserver.fayson.com	访问AD的URL
使用搜索绑定身份验证	true
登录时创建LDAP用户	true
LDAP搜索基础	dc=fayson,dc=com	AD的基础域
LDAP绑定用户可分辨名称	cn=cloudera-scm,cn=Users,dc=fayson,dc=com	AD的管理员用户
LDAP绑定密码	123!QAZ	管理员密码

2.配置保存成功后，使用Hue提供的LDAP测试功能测试配置是否正常

测试成功显示如下：

3.将“身份验证后端”修改为默认的配置

“desktop.auth.backend.AllowFirstUserDjangoBackend”

4.保存配置并重启Hue服务，使用hue默认的管理员admin/admin登录，进入用户管理界面

点击“Add/Sync LDAP user”,将AD中创建的huesuper用户同步至Hue

同步成功后在用户列表显示huesuper用户

将huesuper用户修改为超级管理员

上面的配置方式主要是为了使用hue的超级管理员同步AD中的一个用户并将该用户设置为超级用户，这样我们将Hue的身份验证后端修改为LDAP方式，也有相应的超级用户登录hue进行用户同步。

5.进入Hue服务的配置界面将“身份验证后端”修改为LDAP认证方式

6.保存配置并重启Hue服务，接下来使用huesuper用户登录Hue进行用户同步

hiveadmin用户同步成功

进入Group管理界面，点击“Add/Sync LDAP group”同步AD中的hive组

将hiveadmin用户添加到hive组中

如上操作就完成了hiveadmin和huesuper用户的同步。

4.Hue中集成Hive和Impala

注意：如果Hive/Impala已设置了LDAP认证，需要在Hue中增加以下设置，否则Hue无法正常连接Hive或Impala进行查询，

1.通过CM在hue_safety_valve.ini中增加如下配置

[desktop]
ldap_username=hiveadmin
ldap_password=123!QAZ

（可左右滑动）

2.HDFS的core-site.xml配置中增加hiveadmin代理设置

<property>
    <name>hadoop.proxyuser.hiveadmin.hosts</name>
    <value>*</value>
</property>
<property>
    <name>hadoop.proxyuser.hiveadmin.groups</name>
    <value>*</value>
</property>