Custom kerberization settings
Опция Custom kerberization settings позволяет пользователю выбирать шаги керберизации, например, создание принципалов и keytab-файлов.
Каждый протокол, доступный при выборе действия кластерного действия Manage Kerberos (MIT Kerberos, MS Active Directory, FreeIPA) можно совместить с опцией Custom kerberization settings.
Для установки опции выполните шаги:
-
Инициируйте включение Kerberos для выбранного кластера. Для этого примените действие Manage Kerberos, нажав на иконку
в столбце Actions.
Включение Kerberos в кластере ADS -
Включите переключатель Custom kerberization settings в открывшемся окне, раскройте дерево параметров, установите необходимые параметры и нажмите Run.
| Параметр | Описание | Значение по умолчанию |
|---|---|---|
Set up Kerberos utils |
Активирует возможность устанавливать и удалять клиенты и утилиты Kerberos. Данный параметр учитывается в действиях Expand и Install |
True |
Configure Kerberos on hosts |
Активирует возможность конфигурировать кластер, включая krb5.conf, ldap.conf |
True |
Set up principals and keytabs |
Активирует возможность создавать, пересоздавать и удалять принципалов и keytab-файлы. Пароли для принципалов генерируются случайным образом перед созданием keytab-файлов. Данный параметр учитывается в действиях Expand и Install. Бандл ADCM установит owner и разрешения для keytab-файлов только если этот флаг установлен. В случае отсутствия прав администратора пользователь должен предоставить подготовленный keytab-файл с правильно установленными owner и разрешениями (см. Рекомендации для пользовательских keytab-файлов) |
True |
Configure services and clients |
Установка параметра не влияет на работу ADS. Пользовательские настройки выполняются при помощи шаблона JAAS-файла |
True |
Run service checks |
Активирует возможность проводить проверку сервисов |
True |
Рекомендации для пользовательских keytab-файлов
Ниже представлены рекомендации для значений owner, group и прав для keytab-файлов.
| Short name компонента | Owner keytab-файла | Group keytab-файла | Права |
|---|---|---|---|
kafka |
kafka |
kafka |
600 |
kafka-manager |
kafka-manager |
kafka-manager |
600 |
kafka-rest |
kafka-rest |
kafka |
600 |
ksql-server |
ksql |
kafka |
600 |
nifi |
nifi |
nifi |
600 |
nifi-registry |
nifi |
nifi |
600 |
schema-registry |
schema-registry |
kafka |
600 |
kafka-connect |
kafka-connect |
kafka |
600 |
zookeeper |
zookeeper |
zookeeper |
600 |
HTTP |
nifi |
nifi |
640 |