0424-14.如何为Cloudera Manager集成OpenLDAP认证
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github:
https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢
1.文档编写目的
Fayson在前面一系列文章中介绍了OpenLDAP的安装及与CDH集群中各个组件的集成,包括《1.如何在RedHat7上安装OpenLDA并配置客户端》、《2.如何在RedHat7中实现OpenLDAP集成SSH登录并使用sssd同步用户》、《3.如何RedHat7上实现OpenLDAP的主主同步》、《4.如何为Hive集成RedHat7的OpenLDAP认证》、《5.如何为Impala集成Redhat7的OpenLDAP认证》、《6.如何为Hue集成RedHat7的OpenLDAP认证》、《7.如何在RedHat7的OpenLDAP中实现将一个用户添加到多个组》、《8.如何使用RedHat7的OpenLDAP和Sentry权限集成》、《9.如何为Navigator集成RedHat7的OpenLDAP认证》、《10.如何在OpenLDAP启用MemberOf》、《11.如何为CDSW集成RedHat7的OpenLDAP认证》、《12.OpenLDAP管理工具Phpldapadmin的安装及使用》和《13.一键添加OpenLDAP用户及Kerberos账号》。本篇文章Fayson主要介绍如何为Cloudera Manager集成OpenLDAP认证。
- 内容概述
1.测试环境描述
2.Cloudera Manager集成OpenLDAP
3.Cloudera Manager集成验证
4.总结
- 测试环境
1.RedHat7.3
2.CM和CDH版本为5.15
- 前置条件
1.OpenLDAP已安装且正常使用
2.测试环境描述
- OpenLDAP服务信息
| IP地址 | HOSTNAME | 描述 |
|---|---|---|
| xxx.xx.x.xx | cdh01.fayson.com | OpenLDAP已安装 |
3.Cloudera Manager与OpenLDAP集成
1.使用管理员用户登录Cloudera Manager,进入“管理”->“设置”界面
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0yBvZlbt-1583594230186)(https://ask.qcloudimg.com/http-save/yehe-1522219/dx52ew6j0z.jpeg)]
2.通过左侧的筛选器过滤“外部身份验证”
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pZoelMHy-1583594230188)(https://ask.qcloudimg.com/http-save/yehe-1522219/e7oeq5uqyd.jpeg)]
3.配置外部身份验证,具体配置参数如下:
| 参数名 | 值 | 描述 |
|---|---|---|
| 身份验证后端顺序 | 先外部,后数据库 | |
| Authorization Backend Order | Database and External | |
| 外部身份验证类型 | LDAP | |
| LDAP URL | ldap://cdh01.fayson.com | 配置OpenLDAP URL |
| LDAP 绑定用户可分辨名称 | cn=Manager,dc=fayson,dc=com | 配置用于搜索OpenLDAP的管理员账号 |
| LDAP 绑定密码 | 123456 | 账号密码 |
| LDAP 用户搜索库 | OU=People,DC=fayson,DC=com | 搜索LDAP用户的基础域 |
| LDAP 用户搜索筛选器 | uid={0} | |
| LDAP 组搜索库 | OU=Groups,DC=fayson,DC=com | 搜索LDAP组的基础域 |
| LDAP 组搜索筛选器 | (|(memberUid={1})(cn={1})) | 过滤搜索的LDAP组条件,使用或者的关系过滤组中cn,针对用户名和组一致的情况 |
| LDAP完全权限管理组 | fayson | CM超级管理组 |
| LDAP用户管理组 | | 根据需要配置相应的组,该组的用于管理CM用户 |
| LDAP Cluster管理员组 | | 用于管理集群的组 |
| LDAP BDR管理员组 | | 用于管理BDR功能的组 |
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XXjRlp90-1583594230189)(https://ask.qcloudimg.com/http-save/yehe-1522219/oszae0fzai.jpeg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QwVdwF1v-1583594230190)(https://ask.qcloudimg.com/http-save/yehe-1522219/h460kym8zq.jpeg)]
4.完成上述配置后,在命令行重启Cloudera-scm-server服务
[root@cdh01 ~]# systemctl restart cloudera-scm-server
(可左右滑动)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gr1rDXw1-1583594230191)(https://ask.qcloudimg.com/http-save/yehe-1522219/o62vtfxij0.png)]
以上完成Cloudera Manager与AD的集成。
4.Cloudera Manager集成验证
1.在LDAP上创建fayson测试用户
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JRlABMaB-1583594230192)(https://ask.qcloudimg.com/http-save/yehe-1522219/ifb6cjrczl.jpeg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6HLmayxr-1583594230192)(https://ask.qcloudimg.com/http-save/yehe-1522219/ygrvolodks.png)]
2.使用fayson用户登录Cloudera Manager
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OjeR43CX-1583594230193)(https://ask.qcloudimg.com/http-save/yehe-1522219/gzj7toqmpi.jpeg)]
3.使用非管理员testldap账号登录,用户只拥有“只读”权限
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2xyBhYjK-1583594230193)(https://ask.qcloudimg.com/http-save/yehe-1522219/wgdn5jv84o.jpeg)]
5.总结
1.CM集成OpenLDAP,用户的权限管理是通过用户所属组实现,如果需要为用户配置相应的管理权限则需要将用户组添加到对应的权限组中,未配置的用户只拥有读权限。
2.在测试OpenLDAP用户登录成功后,可以将CM的“身份验证后端顺序”和“Authorization Backend Order”修改为“仅外部”。
提示:代码块部分可以左右滑动查看噢
为天地立心,为生民立命,为往圣继绝学,为万世开太平。
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。