CDH集成LDAP进行身份验证

原创 已于 2025-10-27 21:57:10 修改 · 1k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据 #hadoop

于 2025-08-30 00:36:47 首次发布

前言:在内网环境中部署LDAP并在CDH的hive和impala中集成,其中配置的端口,镜像名,密码等需要根据自己情况进行更改

1、镜像下载

在有网络的服务器上下载镜像或直接下载,这里需要自行配置下docker镜像下载地址

# 下载openldap镜像
docker pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/osixia/openldap:stable
docker tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/osixia/openldap:stable  docker.io/osixia/openldap:stable
# 下载phpldapadmin镜像
docker pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/osixia/phpldapadmin:latest
docker tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/osixia/phpldapadmin:latest  docker.io/osixia/phpldapadmin:latest

2、导出镜像

docker save -o /app/installationPackage/phpldapadmin.tar osixia/phpldapadmin:latest

3、将镜像导入内网服务器

docker load -i openldap.tar
docker load -i phpldapadmin.tar

4、启动openldap

docker run -p 389:389 -p 服务器暴露端口:636 --name ldap --network bridge --hostname openldap-host --env LDAP_ORGANISATION="test" --env LDAP_DOMAIN="test.com" --env LDAP_ADMIN_PASSWORD="test" --detach 31d1d6e16394

LDAP_ADMIN_PASSWORD:密码

5、启动phpldapadmin

docker run -d --privileged -p 服务器暴露端口:80 --name ldap_web --env PHPLDAPADMIN_HTTPS=false --env PHPLDAPADMIN_LDAP_HOSTS=ip --detach 镜像id

6、打开创建phpldapadmin页面创建单元,用户组,用户

记得放开服务器openldap和phpldapadmin使用的端口

这部分内容参考LDAP使用docker安装部署与使用

6.1 登录

浏览器打开http://ip:服务器暴露端口
用户 cn=admin,dc=test,dc=com 密码 test

6.2 创建一个组织单元

创建一个组织单元
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
击刚创建好的cdh的条目,点击create a child entry,选择Posix Group,创建一个用户组test
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在新建的组下添加用户cdh,选中test条目,创建子条目,选择User Account
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

7、CDH配置ldap

我的CDH版本为6.2.1,我这里没有启动ssl,生产环境建议启用

7.1 hive配置ldap

启用ldap
LDAP URL:ldap://ip:端口
LDAP BaseDN:cn=cdh,cn=test,ou=cdh,dc=test,dc=com
在这里插入图片描述

7.2 impala配置ldap

启用ldap
LDAP URL:ldap://ip:端口
Impala Daemon 命令行参数高级配置代码段(安全阀):
–ldap_passwords_in_clear_ok
–ldap_bind_pattern=cn=cdh,cn=test,ou=cdh,dc=test,dc=com

这里也配置LDAP BaseDN的话连接不上,impala不允许在未启用 SSL的情况下进行明文传输凭据
–ldap_passwords_in_clear_ok 允许在不加密的连接(明文)上传输 LDAP 认证的密码
在CDH页面中配置ldap_bind_pattern会提示报错 提示LDAP 模式 的值应匹配 .#UID.,这里需要配置uid
我这里使用的固定dn所以直接在Impala Daemon 命令行参数高级配置代码段(安全阀)中再换行新增–ldap_bind_pattern=cn=cdh,cn=test,ou=cdh,dc=test,dc=com

在这里插入图片描述

配置完后重启hive,impala应用新配置

8、连接

8.1 hive地址:

url: jdbc:hive2://hive的ip:10000
username: cn=cdh,cn=test,ou=cdh,dc=test,dc=com
password: test

8.2 impala地址:

通过jdbc的url可以直接连接
jdbc:impala://impala节点ip:21050/default;AuthMech=3;UID=fname;PWD=test

或者通过账号密码连接
jdbc:impala://impala节点ip:21050/default;AuthMech=3;SSL=0
账号 cn=cdh,cn=test,ou=cdh,dc=test,dc=com或fname
密码 test

精选资源
hue-3.7.0-cdh5.3.6
06-26
`proxy` 可能是指Hue的用户身份验证和访问控制功能,它可能包含了与Kerberos、LDAP或其他身份验证机制的集成,以确保安全的数据访问。 `help` 文件夹可能包含了Hue的在线帮助文档和用户指南,为用户提供详细的使用...
docker-gitlab与OpenLDAP集成:自建目录服务配置
最新发布
gitblog_00003的博客
10-31 356
企业内部部署GitLab时,用户账户管理常面临权限分散、维护复杂的问题。通过OpenLDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)集中管理用户身份,可实现单点登录并统一权限控制。本文将分步骤讲解如何配置docker-gitlab与OpenLDAP集成,解决多系统账户同步难题。完成后,您将获得一套集中式身份认证体系,支持用户自动创建、属性映...
Docker 安装LDAP(企业级统一账号配置系统)
weixin_40331132的博客
08-24 376
LDAP到底是啥?—— 您公司里的“统一账户管理中心”想象一下,你在一家大公司上班。周一早上,你打开电脑,需要输入密码登录Windows系统;然后打开公司邮箱,又得输一遍密码;接着要连公司Wi-Fi,再输一次;想用一下内部的报销系统,好家伙,还得输密码!是不是很烦?而且对公司的网管大叔来说更是个噩梦:如果有100个员工,每个人要记4个密码,那他就要管理400个账户。万一有人离职了,他得记得把这一个人的所有账户在四个系统里全都删掉,万一漏了一个,就可能有安全风险。这个时候,LDAP就来拯救大家了!
OpenLdap +PhpLdapAdmin + Grafana docker-compose部署安装
不忘初心,方得始终
09-05 2816
OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。它本身是一个小型文件数据库。Ldap是树形结构的,能够通过server + client(服务端+客户端)的方式。进行统一的用户(账号)管理。举个栗子:如果有100台机器,一个用户需要登录这100台机器。传统的做法就是每台机器中,都需要创建登录账号,操作100次。想想都会疯掉。
docker安装openldap
u010533742的博客
05-17 1208
mkdir -p /data/openldap/{data,config,init,ldap-account-manager,self-service-password} cd /data/openldap/ vi docker-compose.yaml version: "3" services: ldap: container_name: "ldap" hostname: ldap2.fly.cn image: "osixia/openldap:latest" re
Windows下OpenLDAP的安装及使用(一)
一壶咖啡,两盏小酒
03-19 3万+
一 、什么是LDAP LDAP:(轻量级目录访问协议,Lightweight Directory AccessProtocol)        它是基于 X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。 目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它成树状结构组织数据,就好象Linux/Uni
cdh集成ldap
weixin_38655836的博客
05-05 5131
主要参考的服务的网址: 经过测试,如果根据腾讯云中的这个文档中的指示,把hiveadmin当成是hive的超级用户的话,会出现sentry赋权有问题的情况(那个hue中的加号(添加role)出不来),所以后面出现hiveadmin用户的情况,这里后面都需要变成hive,就可以了 03-Active Directory的使用与验证: https://mp.weixin.qq.com/s?__biz=...
CDH集成LDAP配置
qxf1374268的博客
02-13 5591
转载自JavaChen Blog,作者:JavaChen 原文链接地址:http://blog.javachen.com/2014/11/12/config-ldap-with-kerberos-in-cdh-hadoop.html 参考上面基本配置,添加了部分配置 本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LD...
CDH6.3.2 配置LDAP+kerberos
h952520296的博客
04-08 2797
本文主要记录 cdhhadoop集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAPLDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.201 slave1 kerberos client、ldap client 192.168.0.202 s..
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2840
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
Linux云服务器docker使用教程
诸神缄默不语的博客
11-21 1857
Linux云服务器docker使用教程
docker】分享一个好用的docker镜像国内站点
BigBigHang的博客
07-21 1417
国内用户可通过镜像同步站解决Docker镜像拉取问题。该站点提供gcr.io、docker.io等镜像同步服务:搜索所需镜像后,找到对应的国内镜像地址(如华为云SWR仓库),直接拉取即可。拉取后可选择保持长镜像名称或使用docker tag命令重命名为原名称。这种方式有效避免了因网络问题导致的镜像拉取失败。
LDAP基础:8:ldap用户密码确认和修改
热门推荐
知行合一 止于至善
11-17 4万+
ldap用户密码的修改可以使用ldappasswd命令,也可以使用万能的ldapmodify结合ldif文件来实现,但所修改的都是普通的用户,cn=admin的管理员用户的修改一般可以通过slappasswd来进行,由于本系列使用了openldapdocker镜像,此项功能已被封装,通过设定环境变量即可轻易实现。
0566-07-5.15.0-如何为Impala集成FreeIPA的用户认证
Hadoop_SC的博客
11-17 412
1 文档编写目的 前面Fayson文章讲《0558-01-如何在Redhat7上安装FreeIPA》、《0559-02-如何在Redhat7上安装FreeIPA的客户端》、《0560-03-如何使用root用户重置FreeIPA admin密码》、《0561-04-如何将CDH集成的KDC迁移至FreeIPA的Kerberos认证》、《0562-05-5.15.0-如何为Hive集成FreeIPA...
大数据权限管理-Hue和ldap配置及案例操作(5)
辉哥大数据
07-10 4321
大数据权限管理-Hue和ldap案例操作(5)
CDH 5.7集群添加Kerberos身份验证及Sentry权限控制
weixin_30340819的博客
10-17 864
转载请注明出处:http://www.cnblogs.com/xiaodf/ 4.CDH 5集群添加Kerberos身份验证 4.1 安装sentry1、点击“操作”,“添加服务”;2、选择sentry,并“继续”; 3、选择一组依赖关系 4、确认新服务的主机分配 5、配置存储数据库;  在mysql中创建对应用户和数据库: mysql>create database...
hive、impala集成ldap
weixin_34334744的博客
05-16 352
1、概要 1.1 环境信息 hadoopcdh5.10 os:centos6.7 user:root hive、impala已集成sentry 1.2 访问控制权限 这里通过使用openldap来控制hive、impala的访问权限,即通过用户名、密码来进行访问。而hive、impala内部则已集成了sentry来控制更为细粒度的权限访问。 2、openldap 2.1 安装 # yum i...
impala集成LDAP
空中的鱼
07-13 1819
目的: 为解决kerberos安全机制下的impala,resin cache kerberos tgt maxrenewlife天失效问题。 说明: impala启用LDAP后,会优先选择LDAP用户密码认证,当LDAP认证失败时自动选择kerberos安全认证。 步骤: 关闭防火墙,设置开机不启动防火墙 sudo /etc/init.d/iptables status sudo /etc/
无法将该对象添加到ldap服务器_CDPDC中Impala集成FreeIPA的LDAP认证
weixin_39981041的博客
11-20 283
文档编写目的Cloudera从CM6.3版本开始,引入了Red Hat IdM来做整个集群的认证,Red Hat IdM对应的软件为FreeIPA,在本文中描述如何使用FreeIPA来做CDP-DC集群的认证。关于FreeIPA服务器搭建参考。之前的文章包括,,,。本篇文章主要介绍在CDP-DC平台上如何为Impala集成RedHat7的FreeIPA的LDAP认证。内容概述1) 测试环...
(base) root@icode-5-2:~# apt install cmake Reading package lists... Done Building dependency tree Reading state information... Done The following additional packages will be installed: cmake-data libjsoncpp1 librhash0 Suggested packages: cmake-doc ninja-build The following NEW packages will be installed: cmake cmake-data libjsoncpp1 librhash0 0 upgraded, 4 newly installed, 0 to remove and 276 not upgraded. Need to get 5,470 kB of archives. After this operation, 28.3 MB of additional disk space will be used. Do you want to continue? [Y/n] y Ign:1 http://mirrors.myhuaweicloud.com/ubuntu focal-updates/main amd64 cmake-data all 3.16.3-1ubuntu1.20.04.1 Err:2 http://mirrors.myhuaweicloud.com/ubuntu focal/main amd64 libjsoncpp1 amd64 1.7.4-3.1ubuntu2 Could not resolve 'mirrors.myhuaweicloud.com' Err:3 http://mirrors.myhuaweicloud.com/ubuntu focal/main amd64 librhash0 amd64 1.3.9-1 Could not resolve 'mirrors.myhuaweicloud.com' Err:4 http://mirrors.myhuaweicloud.com/ubuntu focal-updates/main amd64 cmake amd64 3.16.3-1ubuntu1.20.04.1 Could not resolve 'mirrors.myhuaweicloud.com' Err:1 http://mirrors.myhuaweicloud.com/ubuntu focal-updates/main amd64 cmake-data all 3.16.3-1ubuntu1.20.04.1 Could not resolve 'mirrors.myhuaweicloud.com' E: Failed to fetch http://mirrors.myhuaweicloud.com/ubuntu/pool/main/c/cmake/cmake-data_3.16.3-1ubuntu1.20.04.1_all.deb Could not resolve 'mirrors.myhuaweicloud.com' E: Failed to fetch http://mirrors.myhuaweicloud.com/ubuntu/pool/main/libj/libjsoncpp/libjsoncpp1_1.7.4-3.1ubuntu2_amd64.deb Could not resolve 'mirrors.myhuaweicloud.com' E: Failed to fetch http://mirrors.myhuaweicloud.com/ubuntu/pool/main/r/rhash/librhash0_1.3.9-1_amd64.deb Could not resolve 'mirrors.myhuaweicloud.com' E: Failed to fetch http://mirrors.myhuaweicloud.com/ubuntu/pool/main/c/cmake/cmake_3.16.3-1ubuntu1.20.04.1_amd64.deb Could not resolve 'mirrors.myhuaweicloud.com' E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?
07-31
从你的输出来看,你在使用 `apt` 安装 `cmake` 时遇到了网络问题,具体是: ``` Could not resolve 'mirrors.myhuaweicloud.com' ``` 这说明系统无法解析域名 `mirrors.myhuaweicloud.com`,可能是 DNS 配置问题或该镜像源暂时不可用。 --- ### ✅ 解决方案 #### ✅ 方法一:更换为官方 Ubuntu 镜像源或国内其他镜像源(推荐) 你可以将 `/etc/apt/sources.list` 中的源更换为其他可用的镜像源,例如: 1. **备份原文件:** ```bash sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak ``` 2. **编辑源文件:** ```bash sudo nano /etc/apt/sources.list ``` 3. **替换内容为以下任意一个镜像源(推荐清华或阿里云)** ##### 使用阿里云镜像(推荐): ```bash deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse ``` ##### 使用清华镜像: ```bash deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal main restricted universe multiverse deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-updates main restricted universe multiverse deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-backports main restricted universe multiverse deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-security main restricted universe multiverse ``` > 注意:如果你使用的是 Ubuntu 20.04,`focal` 是正确的代号。如果使用其他版本,请替换为对应代号,如 `jammy`(22.04)、`bionic`(18.04)等。 4. **保存并退出**(在 `nano` 中按 `Ctrl + O` 保存,`Ctrl + X` 退出) 5. **更新源列表:** ```bash sudo apt update ``` 6. **再次尝试安装:** ```bash sudo apt install cmake ``` --- #### ✅ 方法二:临时使用 `--fix-missing` 参数(不推荐) 你可以尝试使用以下命令强制安装: ```bash sudo apt install cmake --fix-missing ``` 但此方法并不能解决 DNS 无法解析的根本问题,可能仍然失败。 --- #### ✅ 方法三:检查 DNS 设置 由于提示 `Could not resolve 'mirrors.myhuaweicloud.com'`,说明 DNS 解析失败。你可以尝试更换 DNS: 1. 编辑 `resolv.conf` 文件: ```bash sudo nano /etc/resolv.conf ``` 2. 添加以下 DNS(例如 Google 的公共 DNS): ```bash nameserver 8.8.8.8 nameserver 8.8.4.4 ``` 3. 保存并退出,然后重试安装。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值