我已經安裝的Kerberos按照以下文件 http://docs.hortonworks.com/HDPDocuments/Ambari-2.2.0.0/bk_Ambari_Security_Guide/content/ch_configuring_amb_hdp_for_kerberos.html使用Kerberos遊俠用戶同步
此外,我想配置遊俠同步所有Kerberos主體創建的ACL。有一個選項可以同步AD中的用戶,但我沒有看到任何從Kerberos進行同步的選項。見下面 
圖像選項任何人都可以請做這個選擇有所幫助。由於
我不知道我理解你想要導入什麼,但我相信你有AD和本地集羣KDC其配置與信任的關係,並希望所有的原則,在遊俠由獨立的用戶賬戶來表示。如果您配置了可信關係,則意味着您的整個原則列表將包含本地KDC和AD,並且它們都將對驗證有效。但是,在護林員你的工作與實際Kerberos的原則,但隨着用戶名,這是從auth_to_local配置設置根據指定有映射規則獲得。
如果您運行的LDAP同步,它會通過在這個配置屬性的規則集合傳遞所有匹配的原則,將創建這些規則執行後的名稱最終用戶帳戶。您可以通過檢查最終結果:
hadoop org.apache.hadoop.security.HadoopKerberosName [email protected]
對於本地KDC真的沒有意義,通過這種映射階段通過從KDC原則作爲最終他們都將映射到本地UNIX帳戶。這就是爲什麼你可以點你組和UNIX同步源passwd文件文件,你可以假設所有本地的Kerberos原則將在遊俠數據庫與正確的用戶帳戶來表示。
您可以找到有關Kerberos映射方面的一些詳細信息,在此article
謝謝,我沒有AD,但只有KDC和校長。另外,我的用例是保護Kafka,目前我找不到一種方法來同步遠程中的Kerberos主體,除非我在每個主體的主機上創建本地用戶。這是正確的方式還是有辦法爲Kafka定義auth_to_local? – Mkt281001
@ Mkt281001正確的方法是在每個主機中爲每個單獨的Kerberos原理組創建單獨的Unix帳戶。然後,您可以使用Unix同步功能將它們保持在Ranger DB中的最新狀態。因此,爲了Kerberize卡夫卡,你必須 - 1)在你的KDC 2創建卡夫卡原則)上的每個節點3)地圖的原則,以本地帳戶auth_to_local 4創建本地卡夫卡帳戶)使用同步模塊導入本地用戶遊俠 – Alex
感謝@亞歷克斯是有道理的。 – Mkt281001
有要麼太多可能的答案,還是很好的答案將是這種格式太長。請添加詳細信息以縮小答案集或隔離幾個段落中可以回答的問題。見[問]。 –
您使用哪種「Kerberos」進行身份驗證 - AD,MIT Kerberos映射到LDAP,MIT Kerberos獨立?你對組級授權使用什麼 - Linux組,LDAP組,什麼都沒有? –