我是Hadoop管理和Hortonworks Hadoop的新手。我的问题是在Hortonworks中管理用户的常见做法是什么。 Ambari允许我创建用户,但公司如何将Ambari中的用户映射到他们的用户。我在Hortonworks中看到,我可以启用Kerberos;这是允许公司用户(例如在LDAP中)使用相同的用户名/密码登录Hortonworks的方法吗?我不是在这里寻找细节,而只是关于常见做法的一些指导。
答案 0 :(得分:1)
需要身份来源。 AD很常用于此目的。您可以使用类似sssd的东西将AD与您的群集节点集成。完成后,您可以将群集与AD的kerberos集成。最后,您将使用AD的LDAP作为Ambari的身份验证来源。
当然,这些都不是必需的。您也可以维护各种身份源并在它们之间定期同步(例如/ etc / shadow中的OS用户,MIT KDC数据库中的kerberos用户,关系数据库中的Ambari用户等)。只需考虑管理集群用户所需的额外时间/精力。
答案 1 :(得分:-1)
@facha给出了一个很好的解释。
由于我使用LDAP和Hortonworks,我只能评论这个组合。要开始计算一些问题,您可以使用标准安装Hortonworks附带的LDAP(称为演示LDAP)。您可以使用Ambari中预先提供的LDAP映射来添加更多用户。
之后,您可以在Ranger中导入这些用户,例如为不同的Hadoop服务设置新策略。这是通过“游侠用户同步”完成的,这与使用ldap用户访问Ambari(ambari-server sync-ldap)不同。我一开始并没有意识到这种差异,所以最好注意。
如果您已经完成了所有这些操作,您还可以添加Kerberos安全性,但这更难以理解(keytabs和Principal等)。
使用LDAP时,这里有一些很好的information和一个很好的tutorial。
如果您想轻松管理LDAP用户和群组,我建议ApacheDirectoryStudio。