游侠用户与kerberos
我在下面的文档中设置了Kerberos http://docs.hortonworks.com/HDPDocuments/Ambari-2.2.0.0/bk_Ambari_Security_Guide/content/ch_configuring_amb_hdp_for_kerberos.html
此外,我想配置游侠来同步所有Kerberos主体以创建ACLS。有一个从AD同步用户的选项,但我没有看到任何从Kerberos同步的选项。请参阅下图中的选项
任何人都可以帮助你做这个选项。谢谢
1 个答案:
答案 0 :(得分:1)
我不确定我是否理解您要导入的内容,但我假设您拥有配置了受信任关系的AD和本地群集KDC,并且您希望所有原则都可以通过独立用户帐户在Ranger中表示。如果您配置了受信任关系,则意味着您的整个原则列表将包含本地KDC和AD,并且它们都可用于身份验证。但是在游侠中,您不使用实际的Kerberos原则,而是使用用户名,这些用户名是根据此处指定的映射规则从 auth_to_local 配置设置获得的。
如果您正在运行LDAP同步,它将通过此配置属性中的规则集合传递所有匹配原则,并将创建具有在执行这些规则后获得的名称的最终用户帐户。您可以使用以下方法检查最终结果:
hadoop org.apache.hadoop.security.HadoopKerberosName principle@domain.com
对于本地KDC,将KDC中的原则传递到此映射阶段是没有意义的,因为最终它们将映射到本地UNIX帐户。这就是为什么您可以在UNIX同步源中指向组和 passwd 文件的原因,并且您可以假设所有本地Kerberos原则都将使用适当的用户在Ranger数据库中表示账户。
您可以在此article
中找到有关Kerberos映射方面的更多详细信息
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?