Manage Kerberos
Действие Manage Kerberos позволяет включать, реконфигурировать и отключать Kerberos для всех сервисов кластера. Для его запуска потребуется установленный ADPS-кластер (см. Установка Arenadata Platform Security) и один или несколько Центров Распределения Ключей (Key Distribution Center, KDC).
ПРИМЕЧАНИЕ
Данное действие имеет схожее назначение с действием Manage Kerberos из ADH.
|
Чтобы выполнить действие, перейдите на страницу Clusters, найдите кластер ADPS, нажмите в столбце Actions и выберите действие из выпадающего меню.
В появившемся окне будет предложено несколько опций для запуска действия:
-
С помощью существующего MIT KDC.
-
С помощью существующей MS Active Directory.
-
С помощью существующей FreeIPA.
-
С помощью существующей Samba.
ВАЖНО
Запуск действия Manage Kerberos с выбранным KDC автоматически активирует Kerberos.
|
Опция Custom kerberization settings
Опция Custom kerberization settings позволяет пользователю выбирать шаги керберизации, например, создание принципалов и keytab-файлов.
Параметр | Описание | Значение по умолчанию |
---|---|---|
Set up Kerberos utils |
Активирует возможность устанавливать и удалять клиенты и утилиты Kerberos. Данный параметр учитывается в действиях Expand и Install |
True |
Configure Kerberos on hosts |
Активирует возможность конфигурировать кластер, включая krb5.conf, ldap.conf |
True |
Set up principals and keytabs |
Активирует возможность создавать, пересоздавать и удалять принципалов и keytab-файлы. Пароли для принципалов генерируются случайным образом перед созданием keytab-файлов. Данный параметр учитывается в действиях Expand и Install. Бандл ADCM установит owner и разрешения для keytab-файлов только если этот флаг установлен. В случае отсутствия прав администратора пользователь должен предоставить подготовленный keytab-файл с правильно установленными owner и разрешениями (см. Рекомендации для пользовательских keytab-файлов) |
True |
Configure services and clients |
Активирует возможность обновлять конфигурации сервисов и клиентов |
True |
Run service checks |
Активирует возможность проводить проверку сервисов |
True |
Рекомендации для пользовательских keytab-файлов
Ниже представлены рекомендации для значений owner, group и прав для keytab-файлов.
Short name компонента | Owner keytab-файла | Group keytab-файла | Права |
---|---|---|---|
zookeeper |
zookeeper |
zookeeper |
600 |
solr |
solr |
solr |
600 |
rangeradmin |
ranger |
ranger |
600 |
rangerkms |
kms |
kms |
600 |
rangerlookup |
ranger |
ranger |
600 |
rangertagsync |
ranger |
ranger |
600 |
rangerusersync |
ranger |
ranger |
600 |
knox |
knox |
knox |
600 |
HTTP |
root |
hadoop |
640 |