75.1 演示环境介绍
- CDSW版本:1.2.2
- Shibboleth IDP版本:3.3.2
- CDH版本:5.13.1
- Redhat版本:7.2
75.2 操作演示
- 获取IDP服务的metadata.xml文件
- 通过如下地址获取IDP服务的shibboleth.xml文件
- http://{idp-server-hostname}/idp/shibboleth
- 将shibboleth.xml文件中有关ArtifactResolutionService和SingleSignOnService标签的Location地址由https修改为http
- 需要将下载的shibboleth.xml文件中部分标签修改为”<md:”,该文件在配置CDSW SAML时会用到
- 需要将下载的shibboleth.xml文件中部分标签修改为”<md:”,该文件在配置CDSW SAML时会用到
- 通过如下地址获取IDP服务的shibboleth.xml文件
- IDP服务器上使用openssl命令将backchannel.p12转成成private key秘钥文件
- 使用openssl命令通过pkcs12密钥文件生成private key密钥文件
- 该目录下的的idp-backchannel.crt和private.key文件下载至本地客户端,在配置CDSW秘钥时会使用
cd /opt/shibboleth-idp/credentials
openssl pkcs12 -in idp-backchannel.p12 -nocerts -out idp-backchannel.pem
openssl rsa -in idp-backchannel.pem -out private.key
- 配置SAML
- 管理员登录CDSW,点击:Admin->Security,进入外部身份验证配置界面SAML认证涉及到的配置内容
- 完成配置后,点击Update即可,不需要重启CDSW服务
- 向IDP注册CDSW服务
- 生成的cdsw_saml_metadata.xml文件,上传至IDP服务的/opt/shibboleth-idp/metadata目录下
- 编辑/opt/shibboleth-idp/conf/metadata-providers.xml,在MetadataProvider标签内增加如下配置
<MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/metadata/cdsw_saml_metadata.xml"/>
- 编辑/opt/shibboleth-idp/conf/attribute-filter.xml,将内容修改为如下配置
- 主要修改PolicyRequirementRule属性的value值为EntityID值
<AttributeFilterPolicy id="example1">
<PolicyRequirementRule xsi:type="Requester" value="https://cdh3.itc.cmbchina.cn/idp/shibboleth" />
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="uid">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
- 最后,重新构建IDP包及重启Tomcat服务
[root@cdh3 conf]<20180306 19:57:17># cd /opt/shibboleth-idp/bin/
[root@cdh3 bin]<20180306 19:57:32># ./build.sh
[root@cdh3 bin]<20180306 19:57:51># cd /opt/apache-tomcat-8.5.28/bin/
[root@cdh3 bin]<20180306 19:23:28># sh shutdown.sh
[root@cdh3 bin]<20180306 19:23:48># sh startup.sh
总结:
- CDSW需要配置IDP服务提供者的shibboleth.xml、证书信息及EntityID等信息
- 完成CDSW的SAML配置后,需要将CM的cdsw_saml_metadata.xml注册到IDP服务,并配置IDP服务的属性解析,否则无法将用户信息返回给Cloudera Manager服务
- CDSW的接口未提供完成的cdsw_saml_metadata.xml配置文件,需要自己手动的创建该Metadata
- 需要注意的是IDP服务提供的shibboleth.xml配置文件,需要修改为SAML2.0支持的格式
大数据视频推荐:
CSDN
大数据语音推荐:
企业级大数据技术应用
大数据机器学习案例之推荐系统
自然语言处理
大数据基础
人工智能:深度学习入门到精通