文档编写目的Cloudera从CM6.3版本开始,引入了Red Hat IdM来做整个集群的认证,Red Hat IdM对应的软件为FreeIPA,在本文中描述如何使用FreeIPA来做CDP-DC集群的认证。关于FreeIPA服务器搭建参考<使用FreeIPA对Linux用户权限统一管理>。之前的文章包括<使用FreeIPA为CDP DC7.1集群部署安全>,<CDP-DC中为CM集成FreeIPA提供的LDAP认证>,<在CDP-DC中Ranger集成FreeIPA的LDAP用户>,<CDP-DC中Hue集成FreeIPA的LDAP认证>,。本篇文章主要介绍如何为CDP-DC平台上的Atlas集成FreeIPA提供的LDAP用户。内容概述1) 测试环境描述2) FreeIPA的LDAP介绍3) Atlas集成LDAP4) Atlas集成验证5) 总结测试环境1) RedHat7.72) CM和Cloudera Runtime版本为7.1.13) FreeIPA版本为4.6.6前置条件1) FreeIPA已安装且正常使用2) CDP-DC集群已搭建完毕且正常使用,已经启用FreeIPA提供的Kerberos认证.测试环境描述FreeIPA集群已安装完毕。查看配置文件从IPA 3.0开始,我们已经为/etc/openldap/ldap.conf配置了一些默认值:

[ec2-user@ip-10-0-0-170 ~]$ cat /etc/openldap/ldap.conf# File modified by ipa-client-install# We do not want to break your existing configuration, hence:#   URI, BASE, TLS_CACERT and SASL_MECH#   have been added if they were not set.#   In case any of them were set, a comment has been inserted and#   "# CONF_NAME modified by IPA" added to the line above.# To use IPA server with openLDAP tools, please comment out your# existing configuration for these options and uncomment the# corresponding lines generated by IPA.## LDAP Defaults## See ldap.conf(5) for details# This file should be world readable but not world writable.#BASE    dc=example,dc=com#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666#SIZELIMIT    12#TIMELIMIT    15#DEREF        neverTLS_CACERTDIR    /etc/openldap/certs# Turning this off breaks GSSAPI used with krb5 when rdns = falseSASL_NOCANON    onURI ldaps://ip-10-0-0-170.ap-southeast-1.compute.internalBASE dc=ap-southeast-1,dc=compute,dc=internalTLS_CACERT /etc/ipa/ca.crtSASL_MECH GSSAPI[ec2-user@ip-10-0-0-170 ~]$

设置这些默认值意味着您无需将太多选项传递给ldapsearch之类的工具。搜索更加容易:

$ ldapsearch -x uid=admin

而不是:

$ ldapsearch -x -h ipa.example.com  -b dc=example,dc=com uid=admin
[ec2-user@ip-10-0-0-170 ~]$ ldapsearch -x uid=admin# extended LDIF## LDAPv3# base  (default) with scope subtree# filter: uid=admin# requesting: ALL## admin, users, compat, ap-southeast-1.compute.internaldn: uid=admin,cn=users,cn=compat,dc=ap-southeast-1,dc=compute,dc=internalobjectClass: posixAccountobjectClass: ipaOverrideTargetobjectClass: topgecos: Administratorcn: AdministratoruidNumber: 1376400000gidNumber: 1376400000loginShell: /bin/bashhomeDirectory: /home/adminipaAnchorUUID:: OklQQTphcC1zb3V0aGVhc3QtMS5jb21wdXRlLmludGVybmFsOmJmYTI4NGI4LWE5MzktMTFlYS1iZmEzLTA2YTdiNzk2MzQwYQ==uid: admin# admin, users, accounts, ap-southeast-1.compute.internaldn: uid=admin,cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internalobjectClass: topobjectClass: personobjectClass: posixaccountobjectClass: krbprincipalauxobjectClass: krbticketpolicyauxobjectClass: inetuserobjectClass: ipaobjectobjectClass: ipasshuserobjectClass: ipaSshGroupOfPubKeysuid: admincn: Administratorsn: AdministratoruidNumber: 1376400000gidNumber: 1376400000homeDirectory: /home/adminloginShell: /bin/bashgecos: Administrator# search resultsearch: 2result: 0 Success# numResponses: 3# numEntries: 2[ec2-user@ip-10-0-0-170 ~]$

Atlas与LDAP集成使用管理员用户登录Cloudera Manager,进入“群集”->Atlas->“配置”界面2.通过配置下方的搜索器搜索LDAP,可以看到涉及到Atlas Server部分3.配置外部身份验证,具体配置参数如下:

参数名 描述
Atlas.ldap.url ldaps://ip-10-0-0-170.ap-southeast-1.compute.internal:636 配置FreeIPA的LDAP URL
Atlas.ldap.bind.dn uid=admin,cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal 配置用于搜索LDAP的管理员账号
Atlas.ldap.bind.password cloudera 管理员账号的密码
Atlas.ldap.user.dnpattern uid={0},cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.ldap.user.searchfilter uid={0} LDAP用户搜索过滤器。仅在身份验证方法为LDAP时使用。
Atlas.ldap.group.searchbase cn= groups,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.ldap.group.searchfilter member={0}
Atlas.ldap.group.roleattribute cn
Atlas.ldap.base.dn cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.ldap.referral follow 如果将多个LDAP服务器配置为返回结果的连续引用,则设置为遵循。如果不应该引用,则设置为忽略(默认)。当将此参数设置为throw时,在抛出ReferralException之前,所有常规条目都首先在枚举中返回。
Atlas.usersync.source.impl.class org.apache.Atlas.ldapusersync.process.LdapUserGroupBuilder 分别对应Unix用户同步,文件系统同步,和LDAP用户同步。这些选择LDAP
Atlas.usersync.ldap.url ldaps://ip-10-0-0-170.ap-southeast-1.compute.internal:636
Atlas.usersync.ldap.binddn uid=admin,cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.usersync.ldap.ldapbindpassword cloudera
Atlas.usersync.ldap.deltasync Atlas Usersync Default Group 复选
Atlas.usersync.ldap.searchBase cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.usersync.ldap.user.searchbase cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.usersync.ldap.user.searchscope sub 用户的搜索范围。值“ base”表示仅应考虑在Atlas.usersync.ldap.user.searchbase中指定为搜索基础的条目。“one”表示仅应考虑在Atlas.usersync.ldap.user.searchbase中指定为搜索基础的条目的直接子级。“ Sub”表示应该考虑在Atlas.usersync.ldap.user.searchbase中指定为搜索基础的条目及其所有子级的任何深度。
Atlas.usersync.ldap.user.searchfilter (|(memberOf=cn=ipausers,cn= groups,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal))
Atlas.usersync.ldap.user.nameattribute uid
Atlas.usersync.ldap.user.nameattribute ignore
Atlas.usersync.group.usermapsyncenabled Atlas Usersync Default Group 复选
Atlas.usersync.user.searchenabled Atlas Usersync Default Group 复选
Atlas.usersync.group.searchenabled Atlas Usersync Default Group 复选
Atlas.authentication.method LDAP 登录到Atlas Admin的身份验证方法。

4.完成上述配置后,保存更改,重启Atlas服务应用配置以上完成Atlas与FreeIPA的LDAP的集成。Atlas用户同步通过Cloudera Manager-> 群集 -> Atlas->Atlas Web UI,点击Atlas Web UI,跳转到对应的页面。使用系统配置的admin用户和使用FreeIPA中的admin用户都可以登录到atlas,结果相同。使用FreeIPA中的其他ldap用户superuser登录atlas,正常登陆。总结提供CM将Atlas集成FreeIPA的LDAP,这个整个管控管理系统可以使用一套用户管理体系,减少了用户同步的维护操作。

gitlab 将管理员权限移交给ldap账户_CDPDC中Atlas集成FreeIPA的LDAP认证相关推荐

  1. 计算机硬盘的管理员权限设置,设置恢复在win10中改磁盘名字需要管理员权限的图文...

    我们在win10系统的使用中,有小伙伴在电脑中需要修改电脑中盘符的名字的时候遇到了问题,系统提示需要管理员权限的情况,对于我们修改电脑没有权限的问题是因为权限的问题,需要提供管理员权限来重命名此驱动器 ...

  2. 只有标准账户,如何取得管理员权限?

    只有标准账户,如何取得管理员权限? 1.标准账户与管理员账户是什么? 2.如何更改账户类型? 3.为什么管理员权限丢了? 4.错误的获取管理员权限的方法 5.正确的获取管理员权限的方法 5.1进入[高 ...

  3. WIN10管理员权限设置、更改用户名被“拒绝访问”

    电脑生成的第一个用户会自动授予管理员权限,这个用户名称很重要,最好用英文,这样在电脑的使用过程中会避免很多Bug. 然而很多小伙伴很"不幸",这第一个用户名随手就设置成了中文,比如 ...

  4. 普通用户和计算机管理员,软件运行需要管理员权限,怎么让普通用户也能

    2018-04-01 请问为什么运行软件和执行操作要管理员权限? 对于一般文件来说,是不需要开启administrator账户的,只需要一个简单的办法就OK啦!比如说,对待下面的这种类型的文件夹.wi ...

  5. win10 提供管理员权限才能删除文件夹

    计算机管理员帐户,也就是我们熟知的"Administrator",拥有可执行影响其他用户操作的权限.由于win10专业版刚发布,很多用户不知道怎么取得管理员权限.接下来小编就跟大家 ...

  6. 记录新电脑的node,vue配置和管理员权限的问题

    tips:本文记录自己解决win10权限问题的过程,繁琐,勿喷,日后会改为详细处理过程. 一,问题描述 买了一台笔记本,机械革命深海泰坦x8 pro,买来后重装了win10专业版系统,用自己的kms服 ...

  7. 管理员账户遇到“操作需要管理员权限”解决方法

    有时候,明明已经使用了管理员账户登录了,或当前系统中只有一个账户就是管理员账户,在安装软件或者是对硬盘文件进行操作时,却屡屡提示"需要管理员权限". 对于这个问题,可能是系统设置问 ...

  8. w10系统服务器如何创建新用户,关于Win10怎么给本地账户添加管理员权限的讲解...

    不经意间我们又来到了windows系统文章的学习,快乐是无处不在的 而分享快乐不仅仅是让自己快乐 也让周围的人都快乐 因为分享也是一种快乐,下面就跟大家分享一下我们的文章,我们的文章也许不起眼,但是想 ...

  9. xp怎么删除计算机管理员用户,windowsXP如何显示Administrator账户/如何删除计算机管理员权限的账户/如何更改账户名...

    windows XP 新建管理员账户后如何显示/登陆Administrator账户: 1.永久性操作 方法一:进入"控制面板"->"用户账户"->& ...

最新文章

  1. mysql经典书籍--MySQL 必知必会
  2. WinCE NAND flash - FAL
  3. 上下文管理、线程池、redis订阅和发布
  4. [Material Design] 教你做一个Material风格、动画的button(MaterialButton)
  5. 软件工程-pair work
  6. OFBiz的探索进阶
  7. url 参数传递的两种方式_VB编程中的传值与传址两种参数传递方式,你清楚吗?...
  8. 您不知道Bash:Bash阵列简介
  9. 构建复杂的应用程序(二)—— visual studio 下 C/C++ 项目开发
  10. 安装 Linux 系统,如何选择操作系统和电脑硬件
  11. 我的大学--单片机高手郭天祥的学习心得体会
  12. windows 10 主题美化
  13. 2048小游戏(Java)源码解析及源代码打包
  14. unity车漆模拟ASE
  15. 互联网公司那些价值观-阿里巴巴
  16. 51单片机使用PWM调速
  17. java获取经纬度和地址等工具类
  18. Mathematica实例——利用Mathematica演示量子力学中的波包演化
  19. wget linux
  20. hutool导出excel 设置单元格日期格式 poi设置excel单元格日期格式

热门文章

  1. hapi 插件注册 核心代码
  2. js 判断 浏览器 是否为 微信 浏览器
  3. 13新功能_再聊聊灵感盒 -Marginnote 3.6.12/13新功能
  4. Flex中的Base64加解密
  5. java实现文件在线预览
  6. 利用反射对dao层进行重写
  7. 粮草先行——Android折叠屏开发技术点番外篇之运行时变更处理原则
  8. ORACLE中数据类型
  9. 必须理解的分布式系统中雷同的集群技术及原理
  10. java-上传文件与现实上传文件