本文描述问题及解决方法同样适用于 弹性 MapReduce(EMR)。
Linux环境:centos7.4
CDH:5.16.1
Java:1.8.0_131
LDAP版本:2.4.44
Kerberos版本:1.15.1
关于Kerberos与Ldap两个方案,此处就不再赘述,分别参考我的另外两篇文章:
Kerberos:基于Kerberos认证的大数据权限解决方案
Ldap:基于LDAP认证的大数据权限解决方案
前提:集群已完成Kerberos、Ldap的权限认证。
本篇文章主要讲述如何将KDC与Ldap相整合,整合过程比较简单,下面我们来进行操作。
为了使Kerberos能够绑定到OpenLDAP服务器,需要创建一个管理员用户和一个principal,并生成keytab文件
设置该文件的权限为LDAP服务运行用户可读(一般为ldap):
kadmin.local -q "addprinc ldapadmin@CDH.AI.COM"
kadmin.local -q "addprinc -randkey ldap/cdh01.ali.aiwaystack.com@CDH.AI.COM"
kadmin.local -q "ktadd -k /etc/openldap/ldap.keytab ldap/cdh01.ali.aiwaystack.com@CDH.AI.COM"
chown ldap:ldap /etc/openldap/ldap.keytab && chmod 640 /etc/openldap/ldap.keytab
kinit ldapadmin
确保LDAP启动时使用上一步中创建的keytab文件,在/etc/sysconfig/ldap中增加:
export KRB5_KTNAME=/etc/openldap/ldap.keytab
cp /usr/share/doc/krb5-server-ldap-1.10.3/kerberos.schema /etc/openldap/schema/
修改配置文件/etc/openldap/slapd.conf,在include下追加以下内容:
include /etc/openldap/schema/kerberos.schema
其他不变。
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap /etc/openldap/slapd.d && chmod -R 700 /etc/openldap/slapd.d
systemctl restart slapd
至此,则完成了基于Kerberos+Ldap大数据复合认证权限的整合。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。