0416-07-如何为Hue集成AD认证

最新推荐文章于 2023-06-20 15:04:11 发布

Hadoop_SC

最新推荐文章于 2023-06-20 15:04:11 发布

阅读量593

点赞数

分类专栏： Hadoop实操

本文链接：https://blog.csdn.net/Hadoop_SC/article/details/104724984

版权

Hadoop实操专栏收录该内容

412 篇文章 60 订阅

订阅专栏

温馨提示：如果使用电脑查看图片不清晰，可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github：
https://github.com/fayson/cdhproject
提示：代码块部分可以左右滑动查看噢

1.文档编写目的

Fayson在前面的文章《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》和《06-如何为Impala集成AD认证》。本篇文章Fayson主要介绍Hue集成AD认证。

内容概述

1.Hue配置AD认证

2.Hue中配置Hive和Impala

3.总结

测试环境

1.CM和CDH版本为5.15.0

2.集群已启用Kerberos

3.Window Server2012 R2

2.环境准备

这一步主要是在AD中创建两个用户huesuper和hiveadmin两个用户，huesuper为Hue的超级管理员，hiveadmin用户为Hive的超级管理员。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IAGCTlZu-1583594664206)(https://ask.qcloudimg.com/http-save/yehe-1522219/40cuj4qlog.png)]

3.Hue配置AD认证

1.登录CM的Web控制台，进入Hue服务配置界面搜索“LDAP”，修改配置如下：

参数	值	说明
身份验证后端	desktop.auth.backend.LdapBackend	选择身份验证方式
LDAP URL	ldap://adserver.fayson.com	访问AD的URL
使用搜索绑定身份验证	true
登录时创建LDAP用户	true
LDAP搜索基础	dc=fayson,dc=com	AD的基础域
LDAP绑定用户可分辨名称	cn=cloudera-scm,cn=Users,dc=fayson,dc=com	AD的管理员用户
LDAP绑定密码	123!QAZ	管理员密码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AtXqZCZQ-1583594664208)(https://ask.qcloudimg.com/http-save/yehe-1522219/gp75yi5i3i.jpeg)]

2.配置保存成功后，使用Hue提供的LDAP测试功能测试配置是否正常

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XJ28zyZ8-1583594664208)(https://ask.qcloudimg.com/http-save/yehe-1522219/1i96f5neqj.jpeg)]

测试成功显示如下：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jAKdKRf5-1583594664210)(https://ask.qcloudimg.com/http-save/yehe-1522219/nuqy3ockcc.jpeg)]

3.将“身份验证后端”修改为默认的配置

“desktop.auth.backend.AllowFirstUserDjangoBackend”

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gGKlp2xr-1583594664210)(https://ask.qcloudimg.com/http-save/yehe-1522219/emb7jp2ry8.jpeg)]

4.保存配置并重启Hue服务，使用hue默认的管理员admin/admin登录，进入用户管理界面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vWRfH5MJ-1583594664211)(https://ask.qcloudimg.com/http-save/yehe-1522219/i47c96xjrs.jpeg)]

点击“Add/Sync LDAP user”,将AD中创建的huesuper用户同步至Hue

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gYu01aaC-1583594664211)(https://ask.qcloudimg.com/http-save/yehe-1522219/yye6n2f1wo.png)]

同步成功后在用户列表显示huesuper用户

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5Aet5DEf-1583594664212)(https://ask.qcloudimg.com/http-save/yehe-1522219/y20r3wphjy.jpeg)]

将huesuper用户修改为超级管理员

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hogTE4Rx-1583594664212)(https://ask.qcloudimg.com/http-save/yehe-1522219/9hdtj4fcv4.jpeg)]

上面的配置方式主要是为了使用hue的超级管理员同步AD中的一个用户并将该用户设置为超级用户，这样我们将Hue的身份验证后端修改为LDAP方式，也有相应的超级用户登录hue进行用户同步。

5.进入Hue服务的配置界面将“身份验证后端”修改为LDAP认证方式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GRrpKVX1-1583594664213)(https://ask.qcloudimg.com/http-save/yehe-1522219/mcervlvrtf.jpeg)]

6.保存配置并重启Hue服务，接下来使用huesuper用户登录Hue进行用户同步

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vTUBPTZ4-1583594664213)(https://ask.qcloudimg.com/http-save/yehe-1522219/h6eesc0akm.jpeg)]

hiveadmin用户同步成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aR4bCgcg-1583594664213)(https://ask.qcloudimg.com/http-save/yehe-1522219/kn19gh4egz.jpeg)]

进入Group管理界面，点击“Add/Sync LDAP group”同步AD中的hive组

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iF48QLR3-1583594664214)(https://ask.qcloudimg.com/http-save/yehe-1522219/59h2h4i7tq.jpeg)]

将hiveadmin用户添加到hive组中

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UuA5POO3-1583594664214)(https://ask.qcloudimg.com/http-save/yehe-1522219/cvjhbe01qw.jpeg)]

如上操作就完成了hiveadmin和huesuper用户的同步。

4.Hue中集成Hive和Impala

注意：如果Hive/Impala已设置了LDAP认证，需要在Hue中增加以下设置，否则Hue无法正常连接Hive或Impala进行查询，

1.通过CM在hue_safety_valve.ini中增加如下配置

[desktop]
ldap_username=hiveadmin
ldap_password=123!QAZ

（可左右滑动）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j4hItjtN-1583594664214)(https://ask.qcloudimg.com/http-save/yehe-1522219/6z4jp0f8r3.jpeg)]

2.HDFS的core-site.xml配置中增加hiveadmin代理设置

<property>
    <name>hadoop.proxyuser.hiveadmin.hosts</name>
    <value>*</value>
</property>
<property>
    <name>hadoop.proxyuser.hiveadmin.groups</name>
    <value>*</value>
</property>

（可左右滑动）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9fP730er-1583594664215)(https://ask.qcloudimg.com/http-save/yehe-1522219/20alumxgp1.jpeg)]

3.在Impala中增加代理用户的所有权限

–authorized_proxy_user_config=hiveadmin=*

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZEIWV5jt-1583594664215)(https://ask.qcloudimg.com/http-save/yehe-1522219/qc3yp2s288.jpeg)]

保存以上修改的配置后，回到CM主页根据提示重启相应服务。

5.Hue集成AD测试

在前面已经有测试过同步AD的用户和组操作，这里Fayson主要测试Hive和Impala集成。

1.使用testa用户登录Hue，在Hive执行引擎下执行SQL操作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P3JT3lGo-1583594664215)(https://ask.qcloudimg.com/http-save/yehe-1522219/cas5vn9c35.jpeg)]

执行Count操作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-frI9uuuK-1583594664216)(https://ask.qcloudimg.com/http-save/yehe-1522219/dhg1o1nx4d.jpeg)]

2.使用Impala执行引擎进行SQL操作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4smQCymd-1583594664216)(https://ask.qcloudimg.com/http-save/yehe-1522219/46c182tvim.jpeg)]

执行Count操作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ICalQz2X-1583594664216)(https://ask.qcloudimg.com/http-save/yehe-1522219/vj59gunhxe.jpeg)]

6.总结

1.Hue默认第一个登录的用户为管理员账号，在集成AD时需要配置LDAP信息后再将Hue登录的认证方式修改为AllowFirstUserDjangoBackend，需要使用管理员用户先登录Hue将AD用户同步后，再修改为LDAP认证。

2.如果Hive或者Impala已集成AD，则需要在Hue、HDFS、Impala中增加额外的配置。

3.Hue管理LDAP用户组的逻辑是独立管理用户和组，在同步用户的时候是不会将用户的组信息同步。

4.在Hue集成OpenLDAP的时候有勾选“登录时创建OpenLDAP用户”，所以我们不需要先登录Hue管理员到用户界面去同步LDAP的用户。

提示：代码块部分可以左右滑动查看噢
为天地立心，为生民立命，为往圣继绝学，为万世开太平。
温馨提示：如果使用电脑查看图片不清晰，可以使用手机打开文章单击文中的图片放大查看高清原图。

Hadoop_SC

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
0416-07-如何为Hue集成AD认证

温馨提示：如果使用电脑查看图片不清晰，可以使用手机打开文章单击文中的图片放大查看高清原图。Fayson的github：https://github.com/fayson/cdhproject提示：代码块部分可以左右滑动查看噢1.文档编写目的Fayson在前面的文章《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Activ...
复制链接

扫一扫