Kerberos с MS Active Directory

Ольга Семме

Основные понятия, используемые в Kerberos LDAP:

  • Active Directory — это база данных и набор служб, которые соединяют пользователей с необходимыми сетевыми ресурсами.

  • LDAP-сервер — иерархическая база данных, служба каталогов, основанная на Active Directory, применяется для централизованного хранения учетных записей. Учетные данные включают в себя принципалы, по которым происходит проверка валидности пользователя в Kerberos.

  • LDAP — протокол прикладного уровня для доступа к службе каталогов Active Directory, используется при керберизации кластера для заведения принципалов пользователей.

  • LDAPS — активация LDAP с применением протокола SSL/TLS для создания безопасного трафика. Создание паролей для пользователей ADS с учетными записями в Active Directory при керберизации кластера возможно только с применением LDAPS.

  • Key Distribution Center — компонент системы управления доступом, отвечающий за обслуживание запросов пользователей на доступ к ресурсам путем предоставления тикетов доступа и сеансовых ключей. Он использует Active Directory в качестве базы данных учетных записей.

  • DN (Distinguished Name) — учетная запись в Active Directory. DN должно быть уникальным в пределах дерева. В DN описывается содержимое атрибутов в дереве (путь навигации) для доступа к конкретной записи.

    DN состоит из серии RDN (Relative Distinguished Names), определяемых путём перемещения вверх по дереву в направлении его корневой записи. RDN записываются слева направо.

    Пример DN для пользователя, используемый в данной статье:

    cn=admin-kafka,ou=kerberos,ou=adh,dc=ad,dc=ranger-test.

    В этой записи назначены следующие RDN:

    • cn — общее имя пользователя (common name).

    • ou — организационная единица (organizational unit), контейнер в домене Active Directory, который может содержать пользователей, группы и компьютеры. Организационная единица может иметь несколько ou внутри себя.

    • dc — части имени домена (domain component), представляют вершину дерева LDAP, которое использует DNS для определения своего пространства имен. Обозначение для домена Active Directory с DNS-именем AD.RANGER-TEST имеет вид dc=ad,dc=ranger-test. Имя AD.RANGER-TEST также присваивается для области (realm), для которой проводится аутентификация.

Подготовка к запуску Active Directory на кластере ADS

  1. Настройте сервер Active Directory (LDAP-сервер).

  2. Создайте учётную запись пользователя для подключения кластера к LDAP-серверу по протоколу LDAP.

  3. Создайте сертификат для пользователя, активировав протокол LDAP через протокол SSL с использованием стороннего центра сертификации.

  4. Установите пароль для учетной записи.

  5. Привяжите к учётной записи имя принципала пользователя, например, admin-kafka@AD.RANGER-TEST и сформируйте файл keytab с этими принципалом и ключами.

Запуск Active Directory на кластере ADS в интерфейсе ADCM

  1. Убедитесь, что известны необходимые данные для запуска Active Directory:

    • KDC hosts — адрес хоста, где установлен Key Distribution Center, для керберизации c применением LDAP этот адрес совпадает с адресом LDAP-сервера;

    • Realm — обозначение области для аутентификации в Kerberos;

    • Kadmin server — сервер для установки системы администрирования Kerberos V5, для керберизации c применением LDAP этот адрес совпадает с адресом LDAP-сервера;

    • Kadmin principal — обозначение принципала пользователя, созданного для подключения кластера к Active Directory;

    • Kadmin password — пароль для принципала пользователя, созданного для подключения кластера к Active Directory;

    • Admin DN — учетная запись в Active Directory для пользователя, используемого для подключения кластера к Active Directory;

    • LDAP URL — адрес LDAP-сервера;

    • Container DN — отличительное имя ou, которое станет расположением по умолчанию для созданных во время керберизации объектов кластера на уровне ниже пользователя, описанного в Admin DN;

    • TLS CA certificate Path — путь к созданному сертификату CA для пользователя Admin DN (допускается не указывать, тогда ADCM обратится к LDAP-серверу);

    • TLS CA certificate (optional) — номер созданного сертификата CA для пользователя Admin DN (допускается не указывать, тогда ADCM обратится к LDAP-серверу).

  2. Инициируйте включение MS Active Directory для выбранного кластера. Для этого примените действие Manage Kerberos, нажав на иконку actions default dark actions default light в столбце Actions.

    Включение Kerberos в кластере ADS
    Включение Kerberos в кластере ADS

  3. Включите переключатель Existing Active Directory в открывшемся окне.

    Включение Existing Active Directory
    Включение Existing Active Directory
    ПРИМЕЧАНИЕ
    Включение Existing Active Directory можно совместить c опцией Custom kerberization settings.

  4. Установите параметры конфигурации кластера ADS для MS Active Directory в соответствии со значениями, определенными для пользователя в каталоге LDAP, и нажмите Run.

    Настройка конфигурации кластера ADS для MS Active Directory
    Настройка конфигурации кластера ADS для MS Active Directory

  5. Подтвердите действие в открывшемся окне.

    Подтверждение действия
    Подтверждение действия

  6. Дождитесь завершения включения Kerberos LDAP. Проанализируйте и исправьте ошибки в случае их возникновения.

    Процесс установки LDAP
    Процесс установки LDAP
ПРИМЕЧАНИЕ
Аутентификация по протоколу LDAP после запуска Manage Kerberos в сервисе Kafka осуществляется в соответствии со статьей Использование Kerberos с MS Active Directory в Kafka.
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней