本篇文章主要介绍如何为Hue集成RedHat7的OpenLDAP认证。testldap用户可以正常登录。
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。
Fayson的github:https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢
1.文档编写目的
在前面的文章Fayson讲了《
1.如何在RedHat7上安装OpenLDA并配置客户端
》、《
2.如何在RedHat7中实现OpenLDAP集成SSH登录并使用sssd同步用户
》、《
3.如何RedHat7上实现OpenLDAP的主主同步
》、《
4.如何为Hive集成RedHat7的OpenLDAP认证
》以及《
5.如何为impala集成Redhat7的OpenLDAP认证
》。本篇文章主要介绍如何为Hue集成RedHat7的OpenLDAP认证。
- 内容概述
1.测试环境描述
2.导入hive用户到OpenLDAP
3.Hue集成OpenLDAP
4.Hue集成Hive和Impala
5.Hue集成验证
- 测试环境
1.RedHat7.3
2.OpenLDAP版本2.4.44
这里我们将172.31.24.169做为OpenLDAP的主节点,172.31.16.68做为OpenLDAP的备节点,具体RedHat7下OpenLDAP的HA实现可以参考《
3.如何RedHat7上实现OpenLDAP的主主同步
》
3.导入hive用户到OpenLDAP
这里以hive用户为例来测试,该用户也属于一个特殊用户,涉及到Hive和Impala的超级管理员权限问题。
注意:在添加hive和impala用户时要为用户设置密码。
1.编辑Group-hive.ldif内容如下
[root@ip-172-31-24-169 ~]# vim group-hive.ldif dn: cn=impala,ou=Group,dc=fayson,dc=comobjectClass: posixGroupobjectClass: topcn: impalauserPassword: {SSHA}KYgsfyI/uny0dKPNeMRNG54BdwV6KlWAgidNumber: 975dn: cn=hive,ou=Group,dc=fayson,dc=comobjectClass: posixGroupobjectClass: topcn: hiveuserPassword: {SSHA}KYgsfyI/uny0dKPNeMRNG54BdwV6KlWAgidNumber: 981memberUid: impala
(可左右滑动)
向OpenLDAP中导入hive和impala组
[root@ip-172-31-24-169 ~]# ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f group-hive.ldif
(可左右滑动)
2.编辑user-hive.ldif文件内容如下
[root@ip-172-31-24-169 ~]# vim user-hive.ldif dn: uid=hive,ou=People,dc=fayson,dc=comuid: hivecn: HiveobjectClass: accountobjectClass: posixAccountobjectClass: topobjectClass: shadowAccountuserPassword: {SSHA}KYgsfyI/uny0dKPNeMRNG54BdwV6KlWAshadowLastChange: 17564loginShell: /bin/falseuidNumber: 985gidNumber: 981homeDirectory: /var/lib/hivegecos: Hivedn: uid=impala,ou=People,dc=fayson,dc=comuid: impalacn: ImpalaobjectClass: accountobjectClass: posixAccountobjectClass: topobjectClass: shadowAccountuserPassword: {SSHA}KYgsfyI/uny0dKPNeMRNG54BdwV6KlWAshadowLastChange: 17564loginShell: /bin/bashuidNumber: 979gidNumber: 975homeDirectory: /var/lib/impalagecos: Impala
(可左右滑动)
向OpenLDAP中导入hive和impala用户
[root@ip-172-31-24-169 ~]# ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f user-hive.ldif
3.查看是否导入成功
ldapsearch -D "cn=Manager,dc=fayson,dc=com" -W |grep hiveldapsearch -D "cn=Manager,dc=fayson,dc=com" -W |grep impala
(可左右滑动)
4.Hue集成OpenLDAP
1.使用管理员登录CM,进入Hue配置页面,修改Hue的认证方式为LDAP
2.配置LDAP信息
修改完以上配置后保存,在重启Hue服务前将认证方式修改为desktop.auth.backend.AllowFirstUserDjangoBackend
再次保存配置并重启Hue服务。
3.重启成功后使用Hue的超级管理员登录,我们这里是admin用户为超级管理员
4.登录成功后,进入用户管理界面
点击“Add/Sync LDAP user”
点击“Add/Sync user”按钮,同步testldap用户
将testldap用户设置为超级管理员,因为我们启用LDAP认证后admin用户则无法登陆
上图可以看到testldap用户已被同步,但testldap所属的用户组并为被同步过来,我们还需要通过“Add/Sync LDAP Group”的方式将testldap的用户组也同步过来
点击同步将testldap的用户组信息同步
修改testldap用户的属组为testldap
以上完成了testldap用户的同步及超级管理员配置。
5.回到CM界面修改Hue的配置
将hue的用户的认证方式修改为LDAP,保存并重启Hue。
6.用户登录测试
这里看到admin用户已无法正常登录,因为在OpenLDAP中并不存在admin这个用户。
testldap用户可以正常登录。
5.Hue集成Impala和Hive
注意:如果Hive/Impala已设置了LDAP认证,需要在Hue中增加以下设置,否则Hue无法正常连接Hive或Impala进行查询。
1.通过CM在hue_safety_valve.ini中增加如下配置
[desktop]ldap_username=hiveldap_password=123456
(可左右滑动)
2.HDFS配置中增加代理设置
<property> <name>hadoop.proxyuser.hive.hosts</name> <value>*</value></property><property> <name>hadoop.proxyuser.hive.groups</name> <value>*</value></property>
(可左右滑动)
3.在Impala中增加代理用户的所有权限
--authorized_proxy_user_config=hive=*
保存以上修改的配置后,回到CM主页根据提示重启相应服务。
6.未同步到Hue的用户登录测试
使用faysontest2用户直接登录Hue测试是否会在登录的时候自动创建LDAP用户。
[root@ip-172-31-24-169 ldap]# id faysontest2uid=1999(faysontest2) gid=1989(faysontest2) groups=1989(faysontest2)[root@ip-172-31-24-169 ldap]# more /etc/passwd |grep faysontest2[root@ip-172-31-24-169 ldap]#
(可左右滑动)
使用testldap用户查看faysontest2的LDAP的账号是否同步,faysontest2用户不存在
使用faysontest2用户登录Hue
使用faysontest2用户登录成功
使用testldap用户登录查看用户列表,可以看到faysontest2用户已被同步
7.Hue集成功能验证
1.使用Hue超级管理员登录,进入用户管理界面,同步hive的LDAP用户
同步成功
2.进入group管理界面,同步hive的LDAP组
同步成功
3.更新hive用户的用户组为hive
更新成功
4.退出Hue使用hive用户登录,进入权限管理界面
添加admin角色,并授权给hive组
5.使用Hive操作SQL
执行count操作
6.使用Impala操作SQL
执行count操作
5.总结
- Hue默认第一个登录的用户为管理员账号,在集成LDAP时需要配置LDAP信息后再将Hue登录的认证方式修改为AllowFirstUserDjangoBackend,需要使用管理员用户先登录Hue将LDAP用户同步后,再修改为LDAP认证。
- 如果Hive或者Impala已集成LDAP,则需要在Hue、HDFS、Impala中增加额外的配置。
- Hue管理LDAP用户组的逻辑是独立管理用户和组,在同步用户的时候是不会将用户的组信息同步。
- 在Hue集成OpenLDAP的时候有勾选“登录时创建OpenLDAP用户”,所以我们不需要先登录Hue管理员到用户界面去同步LDAP的用户。
提示:代码块部分可以左右滑动查看噢
为天地立心,为生民立命,为往圣继绝学,为万世开太平。
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。
推荐关注Hadoop实操,第一时间,分享更多Hadoop干货,欢迎转发和分享。
原创文章,欢迎转载,转载请注明:转载自微信公众号Hadoop实操
,
