LDAP 目录接入推荐
# LDAP 目录接入
Kerberos 解决的是“服务和用户如何被可信认证”,LDAP 解决的是“用户和用户组从哪里来”。这一步做完以后,Ambari Plus、Ranger Usersync 和后续权限策略会围绕同一套目录用户展开。
本篇接着 Kerberos 认证启用 往下做,使用 托管 OpenLDAP 模式,在 hadoop1.test.com 上安装目录服务。
| 配置项 | 示例值 |
|---|---|
| OpenLDAP 主机 | hadoop1.test.com |
| LDAP 访问名 | hadoop1.test.com |
| LDAP URL | ldap://hadoop1.test.com:389 |
| Base DN | dc=test,dc=com |
| LDAP 管理 DN | cn=admin,dc=test,dc=com |
| LDAP 管理密码 | Ldapadmin123 |
| 初始平台登录用户 | ttadmin |
| 初始平台登录密码 | Ldapadmin123 |
| 初始平台用户组 | root_ttbigdata_admins |
注意
这里的密码仍然是演示环境写法。生产环境请替换为高复杂度密码,并按安全规范保存。LDAP 接入以后,平台登录和 Ranger 用户组同步都会受这套目录影响。
# 1. 从权限与审计进入目录接入
Kerberos 启用完成后,回到 权限与审计。此时 Kerberos 卡片应显示已启用,目录与权限还没有真正接入。
进入目录与权限页面,点击接入向导。
# 2. 选择托管 OpenLDAP
模式页选择 托管 OpenLDAP。这表示由 Ambari Plus 在集群主机上安装 OpenLDAP,并生成后续 Ranger Usersync 需要的同步配置。
外部 LDAP / AD 更适合企业已有目录的场景。新环境第一次打通链路时,我建议先用托管 OpenLDAP,把平台登录、用户组、Ranger 同步都跑通。
# 3. 配置 OpenLDAP 连接
连接配置页里,主机和访问名都写 FQDN。这里不要写公网地址,也不要写内网 IP。
这一页的关键字段如下:
| 区域 | 配置项 | 示例值 |
|---|---|---|
| 目录入口 | 安装主机 | hadoop1.test.com |
| 目录入口 | LDAP 访问名 | hadoop1.test.com |
| 目录入口 | Base DN | dc=test,dc=com |
| 目录入口 | StartTLS | 关闭 |
| LDAP 管理凭据 | LDAP 管理 DN | cn=admin,dc=test,dc=com |
| LDAP 管理凭据 | LDAP 管理密码 | Ldapadmin123 |
| 初始化平台登录账号 | 登录 UID | ttadmin |
| 初始化平台登录账号 | 登录密码 | Ldapadmin123 |
| 初始化平台登录账号 | 平台登录用户组 | root_ttbigdata_admins |
安装完成后,LDAP URL 会按访问名生成:ldap://hadoop1.test.com:389。
# 4. 确认用户和用户组同步规则
下一步是同步规则。默认规则会从 ou=users 读取用户,从 ou=groups 读取用户组。
我在这里主要看这些字段:
| 配置项 | 示例值 | 说明 |
|---|---|---|
| 用户搜索 Base | ou=users | 用户条目所在 OU。 |
| 用户过滤器 | (|(objectClass=person)(objectClass=inetOrgPerson)(objectClass=user)) | 兼容常见 LDAP 用户对象。 |
| 用户名属性 | uid | Ranger 和平台里展示的用户名来源。 |
| 用户组搜索 Base | ou=groups | 用户组条目所在 OU。 |
| 用户组过滤器 | (|(objectClass=groupOfNames)(objectClass=posixGroup)(objectClass=group)) | 兼容常见用户组对象。 |
| 用户组名称属性 | cn | Ranger 中显示的组名。 |
| 成员属性 | member | 用户组成员关系字段。 |
如果后续要对接企业已有 LDAP,这一页通常就是最容易调错的地方。托管 OpenLDAP 先保留默认值即可。
# 5. 预览目录接入流程
预览页会列出完整任务流,包括安装 OpenLDAP、测试连接、切换 LDAP 登录、检查 SSSD、生成 Ranger Usersync 配置和验证身份贯通。
确认清单里出现 OpenLDAP、SSSD、Ranger Usersync 相关步骤后,再点击执行。
# 6. 等待目录接入执行
执行过程中会安装服务、写入目录配置、创建初始用户和用户组,并把平台认证切到 LDAP。
如果这一步失败,优先看失败步骤属于哪一类:OpenLDAP 安装、LDAP 连接、SSSD 就绪、还是 Ranger Usersync 配置。分类清楚以后,定位会快很多。
# 7. 回到权限与审计查看状态
向导完成后回到权限与审计页面,可以看到三块状态都已经接起来:
| 区域 | 期望状态 |
|---|---|
| 认证 | 已启用 |
| 目录 | 托管 |
| 授权 | 运行中 |
| Kerberos | 已启用 |
| 目录与权限 | 运行中 |
| Ranger | 运行中 |
到这里,认证和目录底座就准备好了。后面继续安装 Knox、HDFS、YARN、Hive 等组件时,就可以围绕这套 Kerberos + LDAP + Ranger 的安全体系往下扩展。