本节介绍如何在Ambari管理的集群中为Hadoop用户和主机配置Kerberos进行强认证。
检查表:安装和配置KDCAmbari能够在集群中配置Kerberos,使其与现有的MIT KDC或现有的Active Directory安装一起工作。本节描述了准备此集成所需的步骤。 您可以选择让Ambari连接到KDC,并自动创建必要的服务和Ambari主体,生成和分发键选项卡(“自动Kerberos设置”)。Ambari还提供了手动配置Kerberos的高级选项。如果选择此选项,则必须创建主体、生成和分发键选项卡。Ambari不会自动完成这个操作(“手动Kerberos设置”)。 KDC (Key Distribution Center)版本支持
•微软活动目录2008及以上 •MIT Kerberos v5 •FreeIPA 4.x和上面
有四种安装/配置KDC的方法: •使用现有的MIT KDC •安装一个新的MIT KDC(参见“可选:安装一个新的MIT KDC”) •使用现有的IPA •使用现有广告 •使用Kerberos手动设置
选项检查表Using an existing MIT KDCAmbari服务器和集群主机都可以通过网络访问KDC和KDC管理主机。手头有KDC管理凭证。Install a new MIT KDC参见“可选:安装一个新的MIT KDC”Using an existing IPA参见“可选:使用现有的IPA”Using an existing ADAmbari服务器和集群主机可以通过网络访问域控制器,并能够解析域控制器的DNS名称。•已配置LDAP (Active Directory secure LDAP)连接。•服务主体的Active Directory用户容器已经创建并准备就绪。例如,“OU=Hadoop,OU=People,dc=apache,dc=org”•在前面提到的用户容器上,• Active Directory管理凭据具有“创建、删除和管理用户帐户”的委托控制。Using manual Kerberos setup集群主机可以通过网络访问KDC。•每个集群主机上都安装了Kerberos客户端实用程序(如kinit)。•已经在Ambari服务器主机和集群中的所有主机上设置了Java加密扩展(JCE)。•在完成向导之前,Service和Ambari主体将在KDC中手动创建。•在完成向导之前,服务和Ambari主体的按键将手动创建并分发到集群主机。 可选:安装一个新的MIT KDC下面对KDC安装过程进行了非常高级的描述。
关于这个任务要获得