功能介绍
服务开启 LDAP 认证功能后,访问服务时需要提供 LDAP 身份认证(LDAP 用户名和密码),可以提升服务的安全性。开启 LDAP 认证功能可以方便您使用LDAP 认证,避免了复杂的配置过程。
前提条件
1. 当集群开启 Kerberos 安全认证时,集群组件不支持 LDAP 认证;仅非 Kerberos 集群且集群版本在 EMR-V 2.6.0 及以上支持 LDAP 认证。
2. 非 Kerberos 集群部署 OpenLDAP 组件时,控制台仅支持 Hive 和 Impala 组件开启或关闭 LDAP 认证,默认关闭认证。
3. 非 Kerberos 集群部署含 OpenLDAP 和 Ranger 时,Ranger 默认开启 LDAP 认证,控制台不支持开启或关闭相关操作。
说明:
EMR 控制台开启或关闭 LDAP 认证时,默认重启服务并生效。
操作步骤
1. 登录 EMR 控制台,在集群列表中单击对应的集群 ID/名称进入集群详情页。
2. 在集群详情页中选择集群服务 ,选择需要开启 LDAP 认证的组件卡片,进入角色管理中,选择更多中的 LDAP.
访问服务
访问 HiveServer2
开启 LDAP 认证后,访问 HiveServer2 需要提供 LDAP 的用户名和密码;可以通过如下访问:
1. 户端连接 HiveServer2。
/usr/local/service/hive/bin/beeline -u "jdbc:hive2://${hs2_ip}:7001/default" -n ${user} -p ${password}
访问 Impala
开启 LDAP 认证后,访问 Impala 需要提供 LDAP 的用户名和密码;通过 SSH 方式连接集群,可以通过以下两种方式访问:
1. Impala-shell.
/data/Impala/bin/impala-shell/impala-shell -i ${Impala-Daemon_ip}:27009 -l -u ${user} --auth_creds_ok_in_clear --ldap_password_cmd='echo -n ${password}
说明:
1. ${user} 为 LDAP 的用户名。
2. ${password} 为 LDAP 的密码。
3. ${hs2_ip} 为集群 HiveSever2 服务部署节点的内网 IP,您可以在集群详情页中 集群服务> Hive >角色管理 中查看。
4. ${{Impala-Daemon_ip} 为集群 Impala-Daemon 服务部署节点的内网 IP,您可以在集群详情页中 集群服务> Impala >角色管理 中查看。
注意:
Hive 集成 EMR OpenLdap 并新增用户后,使用新用户访问需对 hdfs 目录下 /emr/hive 赋予 644 权限。