私の実際の使命は、Kerberized Hadoopクラスタをすべてのチームで使用できるようにすることです。現在、当社は非常に奇妙な設定を持っています。
- Hadoop クラスターには専用の KDC (LDAP バックエンドを持つ openSUSE Kerberos) があります。
- KDCのない(読み取り/書き込み権限を持つ)セカンダリLDAPのリストがあります。
- LDAPを含むMicrosoft ADがあり、どちらも読み取り専用であり、セキュリティポリシーによっては、ADからHadoop Kerberosへのゾーン間信頼は許可されていません。 AD-LDAPは読み取り専用モードです。
これで、私はセカンダリLDAPユーザーとAD-LDAPユーザーがHadoopを使用できるようにする任務を担当しているので、専用KDCはこれについて何かを知る必要があります。
私は何を考えていますか?
- 追加のKerberosバックエンドで読み取り専用LDAPディレクトリを追加できますか?
@LDAP@ADLDAP追加のゾーン(&など)でLDAPを管理するために追加のKerberosをインストールできます。次に、クロスドメイン信頼を作成します。ただし、AD-LDAPではなくセカンダリLDAPへの書き込み権限しかないため、クロスゾーン信頼を簡単に追加できないようです。- 許可された
ldapsearchユーザーkrbtgt/HADOOP@ADLDAP。