温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github: https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢
1.文档编写目的
Fayson在前面一系列文章中介绍了AD的安装及与CDH集群中各个组件的集成,包括《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》、《06-如何为Impala集成AD认证》、《07-如何为Hue集成AD认证》、《08-如何为Navigator集成Active Directory认证》、《09-如何为CDSW集成Active Directory认证》和《如何为CDH集成Active Directory的Kerberos认证》。本篇文章Fayson主要介绍如何为Cloudera Manager集成Active Directory认证。
- 内容概述
1.测试环境描述
2.Cloudera Manager集成Active Directory
3.Cloudera Manager集成验证
4.总结
- 测试环境
1.RedHat7.3
2.CM和CDH版本为5.15
- 前置条件
1.Active Directory已安装且正常使用
2.测试环境描述
- Active Directory服务信息
IP地址 | HOSTNAME | 描述 |
---|---|---|
xxx.xx.x.xx | adserver.fayson.com | Active Directory已安装 |
3.Cloudera Manager与AD集成
1.使用管理员用户登录Cloudera Manager,进入“管理”->“设置”界面
2.通过左侧的筛选器过滤“外部身份验证”
3.配置外部身份验证,具体配置参数如下:
参数名 | 值 | 描述 |
---|---|---|
身份验证后端顺序 | 先外部,后数据库 | |
Authorization Backend Order | Database and External | |
外部身份验证类型 | Active Directory | |
LDAP URL | ldap://adserver.fayson.com | 配置AD URL |
LDAP 绑定用户可分辨名称 | cloudera-scm | 配置用于搜索AD的管理员账号 |
LDAP 绑定密码 | 123!QAZ | 账号密码 |
Active Directory 域 | fayson.com | AD的域名 |
LDAP 用户搜索库 | OU=Cloudera Users,DC=fayson,DC=com | 搜索AD用户的基础域 |
LDAP 组搜索库 | OU=Cloudera Groups,DC=fayson,DC=com | 搜索AD组的基础域 |
LDAP完全权限管理组 | cmadmin | CM超级管理组 |
LDAP用户管理组 | 根据需要配置相应的组,该组的用于管理CM用户 | |
LDAP Cluster管理员组 | 用于管理集群的组 | |
LDAP BDR管理员组 | 用于管理BDR功能的组 |
4.完成上述配置后,在命令行重启Cloudera-scm-server服务
代码语言:javascript复制[root@cdh01 ~]# systemctl restart cloudera-scm-server
(可左右滑动)
以上完成Cloudera Manager与AD的集成。
4.Cloudera Manager集成验证
1.在AD上创建cmadmin组和cmtest用户,并将cmtest用户添加到cmadmin组中
2.使用cmtest用户登录Cloudera Manager
3.使用非管理员账号登录,用户只拥有“只读”权限
5.总结
1.CM集成AD,用户的权限管理是通过用户所属组实现,如果需要为用户配置相应的管理权限则需要将用户组添加到对应的权限组中,未配置的用户只拥有读权限。
2.在测试AD用户登录成功后,可以将CM的“身份验证后端顺序”和“Authorization Backend Order”修改为“仅外部”。
提示:代码块部分可以左右滑动查看噢
为天地立心,为生民立命,为往圣继绝学,为万世开太平。 温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。