舒適提示:若是使用電腦查看圖片不清晰,能夠使用手機打開文章單擊文中的圖片放大查看高清原圖。css
Fayson的github:git
https://github.com/fayson/cdhprojectgithub
提示:代碼塊部分能夠左右滑動查看噢shell
1安全
文檔編寫目的服務器
前面Fayson文章講《0558-01-如何在Redhat7上安裝FreeIPA》、《0559-02-如何在Redhat7上安裝FreeIPA的客戶端》、《0560-03-如何使用root用戶重置FreeIPA admin密碼》、《0561-04-如何將CDH集成的KDC遷移至FreeIPA的Kerberos認證》、《0562-05-5.15.0-如何爲Hive集成FreeIPA的用戶認證》和《0563-06-如何在FreeIPA上管理域名解析》,FreeIPA集成了用戶管理及Kerberos認證,本篇文章Fayson主要介紹如何在CDH集羣中爲Impala集成FreeIPA的用戶認證。微信
內容概述app
1.測試環境描述ide
2.Impala集成OpenLDAPoop
3.Impala集成驗證
測試環境
1.RedHat7.3
2.FreeIPA4.6.4
3.CM和CDH版本爲5.15.0
2
環境準備
FreeIPA服務器
IP地址 |
HOSTNAME |
描述 |
17x.2x.x.x |
cdh04.fayson.net |
FreeIPA已安裝 |
3
Impala配置FreeIPA認證
Impala配置LDAP相關參數說明:
屬性 |
參數值 |
說明 |
enable_ldap_auth |
true |
啓用LDAP認證 |
ldap_uri |
ldap://cdh04.fayson.net |
OpenLDAP訪問地址 |
ldap_baseDN |
cn=users,cn=accounts,dc=fayson,dc=net |
用於對OpenLDAP等非AD服務器配置 |
ldap_bind_pattern |
須要對DN增強控制時,應使用此選項。該參數與LDAP域和LDAP baseDN想好排斥 |
1.在集羣中使用LDAP的命令查找到FreeIPA中用戶所屬的BaseDN,命令以下:
[root@cdh04 ~]# ldapsearch -h cdh04.fayson.net -b "dc=fayson,dc=net" -D "cn=directory manager" -W |grep cdhadmin
在查找出來的信息中,找到member:uid=cdhadmin行,cn=users,cn=accounts,dc=fayson,dc=net即爲LDAP BaseDN。
2.登陸CM的Web控制檯,進入Impala服務,修改LDAP配置
3.在Impala Daemon命令行添加以下配置」 --ldap_passwords_in_clear_ok」
完成上述配置後,根據CM提示重啓Impala服務便可。
4
Impala集成FreeIPA驗證
1.登陸Hue爲FreeIPA上的cdhadmin用戶受權
2.在命令行使用cdhadmin用戶訪問Impala
[root@cdh03 ~]# more /etc/passwd |grep cdhadmin
[root@cdh03 ~]# id cdhadmin
[root@cdh03 ~]# klist
[root@cdh03 ~]# impala-shell -i cdh03.fayson.net -l -u cdhadmin --auth_creds_ok_in_clear
3.執行一個SQL的Count操做
做業執行成功,Impala上監控的狀態
5
總結
1.Fayson使用的是CDH5.15.0版本,在該版本下Impala安全環境下有一個Bug,具體能夠參考《Kerberos環境下Impala Daemon在CDH5.15版本中KRPC端口27000異常分析》
2./etc/krb5.conf配置文件的格式要規範統一,不要在同一個配置章節下有多一個或少一個空格會形成莫名其妙的影響。
提示:代碼塊部分能夠左右滑動查看噢
爲天地立心,爲生民立命,爲往聖繼絕學,爲萬世開太平。
舒適提示:若是使用電腦查看圖片不清晰,能夠使用手機打開文章單擊文中的圖片放大查看高清原圖。
推薦關注Hadoop實操,第一時間,分享更多Hadoop乾貨,歡迎轉發和分享。
原創文章,歡迎轉載,轉載請註明:轉載自微信公衆號Hadoop實操
本文分享自微信公衆號 - Hadoop實操(gh_c4c535955d0f)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。