我是Hadoop管理和Hortonworks Hadoop的新手。我的问题是在Hortonworks中管理用户的常见做法是什么。 Ambari允许我创建用户,但公司如何将Ambari中的用户映射到他们的用户。我看到在Hortonworks中,我可以启用Kerberos;这是否允许公司用户(例如LDAP)使用相同的用户名/密码登录到Hortonworks?我不在这里寻找细节,但只是关于常用做法的一些指导。Hortonworks:如何管理用户
需要标识源。 AD用于此目的相当常见。你会使用类似sssd的东西来将AD集成到你的集群节点。一旦完成,您可以将集群与AD的Kerberos相集成。最后,您将使用AD的LDAP作为Ambari身份验证的来源。
当然,这些东西都不是必需的。您还可以维护各种身份源并定期在它们之间进行同步(例如,/ etc/shadow中的OS用户,MIT KDC数据库中的kerberos用户,关系数据库中的Ambari用户等)。只需考虑管理群集用户所需的额外时间/精力即可。
@facha给出了一个很好的解释。
由于我使用LDAP和Hortonworks,因此我只能评论这个组合。要开始了解一些事情,例如可以使用Hortonworks标准安装附带的LDAP(称为演示LDAP)。您可以使用Ambari中预先提供的LDAP映射来添加更多用户。
之后,您可以在Ranger中导入这些用户,例如为不同的Hadoop服务设置新策略。这是通过“ranger用户同步”完成的,这与使用ldap用户访问Ambari(ambari-server sync-ldap)不同。我一开始并没有意识到这种差异,所以很好的注意到。
如果您已经完成了所有这些工作,您还可以添加Kerberos安全性,但这样会更难理解(密钥表和校长等)。
这里有一些很好的information和一个很好的使用LDAP的tutorial。
如果您想轻松管理LDAP用户和组,我会推荐ApacheDirectoryStudio。