Apache kafka Ranger用户与kerberos同步_Apache Kafka_Kerberos_Ambari

Apache kafka Ranger用户与kerberos同步

apache-kafka

Apache kafka Ranger用户与kerberos同步,apache-kafka,kerberos,ambari,Apache Kafka,Kerberos,Ambari,我有以下文档此外，我想将ranger配置为同步所有Kerberos主体以创建ACL。有一个从AD同步用户的选项，但我看不到任何从Kerberos同步的选项。请参见下图中的选项任何人都可以帮忙做这件事。谢谢我不确定我是否理解您到底想要导入什么，但我假设您有AD和本地群集KDC，它们配置了信任关系，并且您希望您的所有原则都通过独立用户帐户在Ranger中表示出来。如果您配置了信任关系，这意味着您的整个原则列表将由本地KDC和AD组成，并且它们都对身份验证有效。但是，在ranger中，您使用的不

我有以下文档

此外，我想将ranger配置为同步所有Kerberos主体以创建ACL。有一个从AD同步用户的选项，但我看不到任何从Kerberos同步的选项。请参见下图中的选项

任何人都可以帮忙做这件事。谢谢

我不确定我是否理解您到底想要导入什么，但我假设您有AD和本地群集KDC，它们配置了信任关系，并且您希望您的所有原则都通过独立用户帐户在Ranger中表示出来。如果您配置了信任关系，这意味着您的整个原则列表将由本地KDC和AD组成，并且它们都对身份验证有效。但是，在ranger中，您使用的不是实际的Kerberos原则，而是用户名，这些用户名是根据此处指定的映射规则从auth_to_local配置设置中获得的

如果您正在运行LDAP sync，它将通过此配置属性中的规则集合传递所有匹配原则，并将使用执行这些规则后获得的名称创建最终用户帐户。您可以使用以下方法检查最终结果：

hadoop org.apache.hadoop.security.HadoopKerberosName principle@domain.com

对于本地KDC来说，将KDC中的原则传递到这个映射阶段是没有意义的，因为最终它们都将映射到本地UNIX帐户。这就是为什么您可以将组和passwd文件指向UNIX sync source中的原因，您可以假设所有本地Kerberos原则都将在Ranger数据库中用适当的用户帐户表示

您可以在此

中找到有关Kerberos映射方面的更多详细信息。可能的答案太多，或者对于这种格式来说，好的答案太长。请添加详细信息，以缩小答案集或隔离可以在几段中回答的问题。请参阅。您使用哪种“Kerberos”进行身份验证—AD、映射到LDAP的MIT Kerberos、MIT Kerberos单机版？对于组级授权，您使用什么？Linux组、LDAP组，什么都没有？谢谢，我没有AD，只有带主体的KDC。另外，我的用例是保护Kafka，目前我无法找到在ranger中同步Kerberos主体的方法，除非我在主机上为每个主体创建本地用户。这是正确的方法还是有一种方法可以为Kafka定义auth_to_local？@Mkt281001正确的方法是为每台主机中的每一组Kerberos原则创建一个单独的Unix帐户。然后，您可以使用Unix sync在Ranger数据库中保持它们的最新状态。因此，为了使卡夫卡更具说服力，你必须-1）在KDC中创建卡夫卡原则2）在每个节点上创建本地卡夫卡帐户3）在auth_to_local中将原则映射到本地帐户4）使用同步模块将本地用户导入RangerTanks@Alex，这是有意义的。