我是 Hadoop 管理和 Hortonworks Hadoop 的新手。我的问题是在 Hortonworks 中管理用户的常见做法是什么。Ambari 允许我创建用户,但公司如何将 Ambari 中的用户映射到他们的用户。我看到在 Hortonworks 中,我可以启用 Kerberos;这是允许公司用户(例如在 LDAP 中)使用相同的用户名/密码登录 Hortonworks 的方式吗?我不是在这里寻找细节,而只是关于常见做法的一些指导。
问问题
512 次
2 回答
1
需要身份源。AD 非常普遍用于此目的。您将使用 sssd 之类的东西将 AD 与集群节点集成。完成后,您可以将集群与 AD 的 kerberos 集成。最后,您将使用 AD 的 LDAP 作为 Ambari 的身份验证源。
当然,这些都不是必需的。您还可以维护各种身份源并在它们之间定期同步(例如 /etc/shadow 中的 OS 用户、MIT KDCs 数据库中的 kerberos 用户、关系数据库中的 Ambari 用户等)。只需考虑管理集群用户所需的额外时间/精力。
于 2017-10-13T19:43:48.160 回答
-1
@facha 给出了很好的解释。
由于我使用 LDAP 和 Hortonworks,我只能对这种组合发表评论。例如,您可以使用 Hortonworks 标准安装附带的 LDAP(称为演示 LDAP)来开始弄清楚一些事情。您可以使用 Ambari 中预先提供的 LDAP 映射来添加更多用户。
之后,您可以在 Ranger 中导入这些用户,例如为不同的 Hadoop 服务设置新策略。这是通过“游侠用户同步”完成的,这与使用 ldap 用户(ambari-server sync-ldap)访问 Ambari 不同。我一开始并没有意识到这种差异,所以很高兴注意到。
如果您已经完成了所有这些,您还可以添加 Kerberos 安全性,但这是更难理解的东西(keytabs 和 principals 等)。
如果您想轻松管理 LDAP 用户和组,我会推荐 ApacheDirectoryStudio。
于 2017-10-17T09:40:11.710 回答