Manage Kerberos
Действие Manage Kerberos
Действие Manage Kerberos позволяет включать, реконфигурировать и отключать Kerberos. Для его запуска потребуется установленный ADH-кластер (см. Установка Arenadata Hadoop) и один или несколько Центров Распределения Ключей (Key Distribution Center, KDC). Прежде чем приступать к управлению Kerberos, рекомендуется прочитать статью Обзор Kerberos о требованиях для керберизации.
Среди прочего, Manage Kerberos создан для реализации следующих сценариев:
-
Включение Kerberos без данных администратора с помощью существующего клиента, принципалов и/или keytab-файлов.
-
Быстрый перевод кластера из состояния kerberized в cостояние non-kerberized в случае возникновения ошибки в начале процесса керберизации (например, неверные данные kadmin) без необходимости реконфигурации сервисов, удаления принципалов и keytab-файлов.
-
Отложенная реконфигурация сервисов — возможность сконфигурировать Kerberos в моменте, а реконфигурировать и перезапустить сервисы позже.
Для запуска действия в веб-интерфейсе ADCM перейдите на страницу Clusters. Выберите установленный и подготовленный кластер ADH, и запустите действие Manage Kerberos.
В появившемся окне будет предложено несколько опций для запуска действия:
-
С помощью существующего MIT KDC.
-
С помощью существующей MS Active Directory.
-
С помощью существующей FreeIPA.
-
С помощью опции Custom kerberization settings.
Для правильного запуска действия выберите одну из предложенных опций KDC: Existing MIT KDC, Existing Active Directory, Existing FreeIPA. Каждую из этих опций можно совместить с опцией Custom kerberization settings.
|
ВАЖНО
Запуск действия Manage Kerberos с выбранным KDC автоматически активирует Kerberos.
|
Опция Custom kerberization settings
Опция Custom kerberization settings позволяет пользователю выбирать шаги керберизации, например, создание принципалов и keytab-файлов.
| Параметр | Описание | Значение по умолчанию |
|---|---|---|
Set up Kerberos utils |
Активирует возможность устанавливать и удалять клиенты и утилиты Kerberos. Данный параметр учитывается в действиях Expand и Install |
True |
Configure Kerberos on hosts |
Активирует возможность конфигурировать кластер, включая krb5.conf, ldap.conf |
True |
Set up principals and keytabs |
Активирует возможность создавать, пересоздавать и удалять принципалов и keytab-файлы. Пароли для принципалов генерируются случайным образом перед созданием keytab-файлов. Данный параметр учитывается в действиях Expand и Install. Бандл ADCM установит owner и разрешения для keytab-файлов только если этот флаг установлен. В случае отсутствия прав администратора пользователь должен предоставить подготовленный keytab-файл с правильно установленными owner и разрешениями (см. Рекомендации для пользовательских keytab-файлов) |
True |
Configure services and clients |
Активирует возможность обновлять конфигурации сервисов и клиентов |
True |
Run service checks |
Активирует возможность проводить проверку сервисов |
True |
Рекомендации для пользовательских keytab-файлов
Ниже представлены рекомендации для значений owner, group и прав для keytab-файлов.
| Short name компонента | Owner keytab-файла | Group keytab-файла | Права |
|---|---|---|---|
zookeeper |
zookeeper |
zookeeper |
600 |
hdfs-datanode |
hdfs |
hadoop |
600 |
hdfs-namenode |
hdfs |
hadoop |
600 |
hdfs-journalnode |
hdfs |
hadoop |
600 |
hdfs-secondarynamenode |
hdfs |
hadoop |
600 |
hdfs-zkfc |
hdfs |
hadoop |
600 |
HTTP |
hdfs |
hadoop |
640 |
httpfs |
httpfs |
httpfs |
600 |
hdfs |
hdfs |
hadoop |
640 |
yarn |
yarn |
hadoop |
640 |
yarn-resourcemanager |
yarn |
hadoop |
600 |
yarn-nodemanager |
yarn |
hadoop |
600 |
yarn-timelineserver |
yarn |
hadoop |
600 |
mapreduce-historyserver |
mapred |
hadoop |
600 |
hbase |
hbase |
hadoop |
640 |
hbase-phoenix_queryserver |
phoenix |
phoenix |
600 |
hbase-thrift2 |
hbase |
hbase |
600 |
hive |
hive |
hive |
640 |
solr |
solr |
solr |
600 |
spark |
spark |
spark |
640 |
livy |
livy |
hadoop |
600 |
airflow |
airflow |
airflow |
600 |
sqoop |
sqoop |
sqoop |
600 |
flink |
flink |
flink |
600 |
zeppelin |
zeppelin |
zeppelin |
600 |
impala |
impala |
impala |
600 |