Manage Kerberos

Сергей Тихомиров

Действие Manage Kerberos позволяет включать, реконфигурировать и отключать Kerberos для всех сервисов кластера. Для его запуска потребуется установленный ADPS-кластер (см. Установка Arenadata Platform Security) и один или несколько Центров Распределения Ключей (Key Distribution Center, KDC).

ПРИМЕЧАНИЕ
Данное действие имеет схожее назначение с действием Manage Kerberos из ADH.

Чтобы выполнить действие, перейдите на страницу Clusters, найдите кластер ADPS, нажмите actions default light actions default dark в столбце Actions и выберите действие из выпадающего меню.

Запуск действия Manage Kerberos
Запуск действия

В появившемся окне будет предложено несколько опций для запуска действия:

  • С помощью существующего MIT KDC.

  • С помощью существующей MS Active Directory.

  • С помощью существующей FreeIPA.

Опции активации Kerberos
Опции активации Kerberos
ВАЖНО
Запуск действия Manage Kerberos с выбранным KDC автоматически активирует Kerberos.

Опция Custom kerberization settings

Опция Custom kerberization settings позволяет пользователю выбирать шаги керберизации, например, создание принципалов и keytab-файлов.

Кастомные параметры керберизации
Параметры Custom kerberization settings
Описание параметров Custom kerberization settings
Параметр Описание Значение по умолчанию

Set up Kerberos utils

Активирует возможность устанавливать и удалять клиенты и утилиты Kerberos. Данный параметр учитывается в действиях Expand и Install

True

Configure Kerberos on hosts

Активирует возможность конфигурировать кластер, включая krb5.conf, ldap.conf

True

Set up principals and keytabs

Активирует возможность создавать, пересоздавать и удалять принципалов и keytab-файлы. Пароли для принципалов генерируются случайным образом перед созданием keytab-файлов. Данный параметр учитывается в действиях Expand и Install. Бандл ADCM установит owner и разрешения для keytab-файлов только если этот флаг установлен. В случае отсутствия прав администратора пользователь должен предоставить подготовленный keytab-файл с правильно установленными owner и разрешениями (см. Рекомендации для пользовательских keytab-файлов)

True

Configure services and clients

Активирует возможность обновлять конфигурации сервисов и клиентов

True

Run service checks

Активирует возможность проводить проверку сервисов

True

Рекомендации для пользовательских keytab-файлов

Ниже представлены рекомендации для значений owner, group и прав для keytab-файлов.

Рекомендации для keytab-файлов
Short name компонента Owner keytab-файла Group keytab-файла Права

zookeeper

zookeeper

zookeeper

600

solr

solr

solr

600

rangeradmin

ranger

ranger

600

rangerkms

kms

kms

600

rangerlookup

ranger

ranger

600

rangertagsync

ranger

ranger

600

rangerusersync

ranger

ranger

600

knox

knox

knox

600

HTTP

root

hadoop

640
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней