Ranger 用户与 kerberos 同步
Ranger user sync with kerberos
我已经按照以下文档设置了 Kerberos
http://docs.hortonworks.com/HDPDocuments/Ambari-2.2.0.0/bk_Ambari_Security_Guide/content/ch_configuring_amb_hdp_for_kerberos.html
此外,我想配置 ranger 以同步所有 Kerberos 主体以创建 ACLS。有一个从 AD 同步用户的选项,但我没有看到任何从 Kerberos 同步的选项。请参阅下图中的选项
任何人都可以帮助提供执行此操作的选项。谢谢
我不确定我是否理解你到底想导入什么,但我假设你有配置了信任关系的 AD 和本地集群 KDC,并且你希望你的所有原则在 Ranger 中由独立的用户帐户表示.如果您配置了信任关系,这意味着您的整个原则列表将包括本地 KDC 和 AD,并且它们都对身份验证有效。但是在 ranger 中,您不是使用实际的 Kerberos 原则,而是使用用户名,这些用户名是根据那里指定的映射规则从 auth_to_local 配置设置中获得的。
如果你是运行LDAP同步,它会通过这个配置中的规则集合传递所有的匹配原则属性并且会在执行这些规则后使用获得的名称创建最终用户帐户.您可以使用以下方法检查最终结果:
hadoop org.apache.hadoop.security.HadoopKerberosName principle@domain.com
对于本地 KDC,通过此映射阶段从 KDC 传递原则确实没有意义,因为最后它们都将映射到本地 UNIX 帐户。这就是为什么您可以将 group 和 passwd 文件指向 UNIX 同步源,并且您可以假设所有本地 Kerberos 原则都将在具有适当用户帐户的 Ranger 数据库。
您可以在此 article
中找到有关 Kerberos 映射方面的更多详细信息
我已经按照以下文档设置了 Kerberos http://docs.hortonworks.com/HDPDocuments/Ambari-2.2.0.0/bk_Ambari_Security_Guide/content/ch_configuring_amb_hdp_for_kerberos.html
此外,我想配置 ranger 以同步所有 Kerberos 主体以创建 ACLS。有一个从 AD 同步用户的选项,但我没有看到任何从 Kerberos 同步的选项。请参阅下图中的选项
我不确定我是否理解你到底想导入什么,但我假设你有配置了信任关系的 AD 和本地集群 KDC,并且你希望你的所有原则在 Ranger 中由独立的用户帐户表示.如果您配置了信任关系,这意味着您的整个原则列表将包括本地 KDC 和 AD,并且它们都对身份验证有效。但是在 ranger 中,您不是使用实际的 Kerberos 原则,而是使用用户名,这些用户名是根据那里指定的映射规则从 auth_to_local 配置设置中获得的。
如果你是运行LDAP同步,它会通过这个配置中的规则集合传递所有的匹配原则属性并且会在执行这些规则后使用获得的名称创建最终用户帐户.您可以使用以下方法检查最终结果:
hadoop org.apache.hadoop.security.HadoopKerberosName principle@domain.com
对于本地 KDC,通过此映射阶段从 KDC 传递原则确实没有意义,因为最后它们都将映射到本地 UNIX 帐户。这就是为什么您可以将 group 和 passwd 文件指向 UNIX 同步源,并且您可以假设所有本地 Kerberos 原则都将在具有适当用户帐户的 Ranger 数据库。
您可以在此 article
中找到有关 Kerberos 映射方面的更多详细信息