本文详细介绍了在CDH集群中为Impala集成FreeIPA用户认证的过程,包括测试环境描述、Impala配置FreeIPA认证的具体步骤,以及集成后的验证方法。同时,文章还提到了在CDH5.15.0版本下Impala安全环境中的一个Bug,并给出了/etc/krb5.conf配置文件的注意事项。
1 文档编写目的
前面Fayson文章讲《0558-01-如何在Redhat7上安装FreeIPA》、《0559-02-如何在Redhat7上安装FreeIPA的客户端》、《0560-03-如何使用root用户重置FreeIPA admin密码》、《0561-04-如何将CDH集成的KDC迁移至FreeIPA的Kerberos认证》、《0562-05-5.15.0-如何为Hive集成FreeIPA的用户认证》和《0563-06-如何在FreeIPA上管理域名解析》,FreeIPA集成了用户管理及Kerberos认证,本篇文章Fayson主要介绍如何在CDH集群中为Impala集成FreeIPA的用户认证。
- 内容概述
1.测试环境描述
2.Impala集成OpenLDAP
3.Impala集成验证
- 测试环境
1.RedHat7.3
2.FreeIPA4.6.4
3.CM和CDH版本为5.15.0
2 环境准备
- FreeIPA服务器
| IP地址 | HOSTNAME | 描述 |
|---|---|---|
| 17x.2x.x.x | cdh04.fayson.net | FreeIPA已安装 |
3 Impala配置FreeIPA认证
Impala配置LDAP相关参数说明:
| 属性 | 参数值 | 说明 |
|---|---|---|
| enable_ldap_auth | true | 启用LDAP认证 |
| ldap_uri | ldap://cdh04.fayson.net | OpenLDAP访问地址 |
| ldap_baseDN | cn=users,cn=accounts,dc=fayson,dc=net | 用于对OpenLDAP等非AD服务器配置 |
| ldap_bind_pattern | | 需要对DN加强控制时,应使用此选项。该参数与LDAP域和LDAP baseDN想好排斥 |
1.在集群中使用LDAP的命令查找到FreeIPA中用户所属的BaseDN,命令如下:
[root@cdh04 ~]# ldapsearch -h cdh04.fayson.net -b "dc=fayson,dc=net" -D "cn=directory manager" -W |grep cdhadmin
在查找出来的信息中,找到member:uid=cdhadmin行,cn=users,cn=accounts,dc=fayson,dc=net即为LDAP BaseDN。
2.登录CM的Web控制台,进入Impala服务,修改LDAP配置
3.在Impala Daemon命令行添加如下配置” --ldap_passwords_in_clear_ok”
完成上述配置后,根据CM提示重启Impala服务即可。
4 Impala集成FreeIPA验证
1.登录Hue为FreeIPA上的cdhadmin用户授权
2.在命令行使用cdhadmin用户访问Impala
[root@cdh03 ~]# more /etc/passwd |grep cdhadmin
[root@cdh03 ~]# id cdhadmin
[root@cdh03 ~]# klist
[root@cdh03 ~]# impala-shell -i cdh03.fayson.net -l -u cdhadmin --auth_creds_ok_in_clear
3.执行一个SQL的Count操作
作业执行成功,Impala上监控的状态
5 总结
1.Fayson使用的是CDH5.15.0版本,在该版本下Impala安全环境下有一个Bug,具体可以参考《Kerberos环境下Impala Daemon在CDH5.15版本中KRPC端口27000异常分析》
2./etc/krb5.conf配置文件的格式要规范统一,不要在同一个配置章节下有多一个或少一个空格会造成莫名其妙的影响。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
