Oracle Cloud Infrastructureドキュメント

Active Directory KDCのみを使用したKerberos認証の構成(推奨)

ビッグ・データ・サービスに対してのみActive Directory KDCを使用してKerberos認証を構成します。

ビッグ・データ・サービス・クラスタは、デフォルトでローカルMIT KDCをプロビジョニングします。Kerberosウィザードを使用して、KDCを無効にし、Active Directory KDCを有効にできます。

既存の Active Directoryを使用した Kerberosの有効化

ビッグ・データ・サービス・クラスタ上の既存のActive Directoryを使用してKerberosを有効にします。

次のオプションのいずれかを使用します。

enable_activedirectoryユーティリティの使用(推奨)

ノート

このオプションは、ビッグ・データ・サービス3.0.27以降に使用します。
このユーティリティを使用すると、Ambari、Hue、Ranger、JupyterHubなど、個々のサービスに対してActive DirectoryおよびLDAP統合を使用してKerberosを有効にできます。
  1. コマンド・シェルを介してun0ノードに接続し、Secure Shell (SSH)を使用します。
  2. 次のコマンドを実行します: 
    sudo enable_activedirectory

    入力Active Directoryプロパティ:

    • KDCホスト: <AD_SERVER_FQDN>
    • レルム名: <AD_REALM_NAME>
    • LDAP URL: ldaps://<AD_FQDN>:636またはldap://<AD_FQDN>:389
    • コンテナDN: <AD_SEARCH_BASE>
    • Kadminホスト: <AD_FQDN>:749
    • 管理原則: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
    • Admin password: <AD_BIND_USER_PWD>
    • 管理DN: CN=<username>、CN=Users、DC=<XXX>、DC=<YYY>、DC=<ZZZ>

Ambariの使用

  1. Apache Ambariにアクセスします。
  2. サイド・ツールバーの「クラスタ管理者」で、「Kerberos」を選択します。
  3. 「Kerberosの有効化」を選択し、次のアクションを実行します。
    1. 「使用する予定のKDCのタイプ」で、「既存のActive Directory」を選択します。
    2. 「既存のActive Directory」で、すべてのチェック・ボックスを選択します。
    3. 「次へ」を選択します。
  4. Kerberosを次のように構成します。
    1. 入力Active Directoryプロパティ:
      • KDCホスト: <AD_SERVER_FQDN>
      • レルム名: <AD_REALM_NAME>
      • LDAP URL: ldaps://<AD_FQDN>:636またはldap://<AD_FQDN>:389
      • コンテナDN: <AD_SEARCH_BASE>
      • Kadminホスト: <AD_FQDN>:749
      • 管理原則: <AD_BIND_USER_NAME>@<AD_REALM_NAME_LOWER>
      • Admin password: <AD_BIND_USER_PWD>
    2. 「管理資格証明の保存」を選択します。
    3. 「次へ」を選択します。
  5. Kerberosサービスが正常にインストールおよびテストされたら、「Next」を選択します。
  6. アイデンティティを構成するには、デフォルト値を受け入れて「次へ」を選択します。
  7. 構成を確認します。
    1. (オプション)Apache Ambariが作成した原則およびキータブのCSVファイルをダウンロードするには、「CSVのダウンロード」を選択します。
    2. 構成を確認し、「次へ」を選択します。
  8. サービスを起動およびテストします。
    エラーが表示された場合は、「再試行」を選択してテストを再度実行できます。
  9. 「完了」を選択します。

Kerberosの無効化

これは、KafkaおよびRanger Servicesがインストールされているクラスタに適用されます。セキュア/HAクラスタでKerberosを無効にするには、Kafkaサービス・チェックの失敗を回避するために適切に実行する必要があります。以下のいずれかのアプローチを使用してください。

KDCの無効化

Active Directory KDCを設定するには、最初にMIT KDCを無効にする必要があります。

重要

Kafka Rangerプラグインがインストールされている場合は、かわりにKerberosを無効にするステップに従ってください。
  1. Apache Ambariにアクセスします。
  2. サイド・ツールバーの「クラスタ管理者」で、「Kerberos」を選択します。
  3. 「Kerberosの無効化」を選択します。
  4. Kerberosの無効化ウィザードに従って、「完了」を選択します。

Kafka Rangerプラグインがインストールされている場合のKDCの無効化

方法1 (推奨)

Kerberosが有効な場合:

  1. AmbariからKafka Rangerプラグインを無効にします:
    1. Ambariにサインインします。
    2. サイド・ツールバーの「サービス」で、「レンジャー」を選択します。
    3. 「構成」を選択し、「レンジャー・プラグイン」を選択します。
  2. Kerberosを無効にします。
  3. 必要な場合は、Kafka Rangerプラグインを有効にします。

方法2

Kerberosが現在有効で、Kafkaレンジャー・プラグインを無効にしない場合は、次のようにします。

  1. Rangerに移動し、Kafkaサービスのポリシーに移動します。
  2. パブリック・グループをすべて- トピックおよびすべて- クラスタ・ポリシーに追加します。なんらかの理由でこれらのポリシーが存在しない場合は、作成します。目的は、Kafkaサービス・チェックに必要なすべてのトピックおよびクラスタ・リソースに対するパブリック・グループ・アクセス権を付与することです。
  3. Kerberosを無効にします。
  4. 上で追加されたパブリック・グループを削除します。

方法3

Kerberosがすでに無効化されており、Kafkaサービス・チェックがすでに失敗している場合は、次のようになります:

  1. メソッド1で説明したように、Kafka Rangerプラグインを無効にします。
  2. 必要に応じてKafkaサービスを再起動します。
  3. Kafka Rangerプラグインの有効化
ノート

Kerberosを無効にした後、Kafkaサービス・チェック(「Kafka」→「アクション」→「サービス・チェックの実行」)には、すべてのトピック・ポリシーへのパブリック・グループ・アクセスが必要です。