文檔編寫目的Cloudera從CM6.3版本開始，引入了Red Hat IdM來做整個集群的認證，Red Hat IdM對應的軟件為FreeIPA，在本文中描述如何使用FreeIPA來做CDP-DC集群的認證。關于FreeIPA服務器搭建參考<使用FreeIPA對Linux用戶權限統一管理>。之前的文章包括<使用FreeIPA為CDP?DC7.1集群部署安全>,<CDP-DC中為CM集成FreeIPA提供的LDAP認證>,<在CDP-DC中Ranger集成FreeIPA的LDAP用戶>,<CDP-DC中Hue集成FreeIPA的LDAP認證>，。本篇文章主要介紹如何為CDP-DC平臺上的Atlas集成FreeIPA提供的LDAP用戶。內容概述1) 測試環境描述2) FreeIPA的LDAP介紹3) Atlas集成LDAP4) Atlas集成驗證5) 總結測試環境1) RedHat7.72) CM和Cloudera Runtime版本為7.1.13) FreeIPA版本為4.6.6前置條件1) FreeIPA已安裝且正常使用2) CDP-DC集群已搭建完畢且正常使用，已經啟用FreeIPA提供的Kerberos認證.測試環境描述FreeIPA集群已安裝完畢。查看配置文件從IPA 3.0開始，我們已經為/etc/openldap/ldap.conf配置了一些默認值：[ec2-user@ip-10-0-0-170 ~]$ cat /etc/openldap/ldap.conf# File modified by ipa-client-install# We do not want to break your existing configuration, hence:# URI, BASE, TLS_CACERT and SASL_MECH# have been added if they were not set.# In case any of them were set, a comment has been inserted and# "# CONF_NAME modified by IPA" added to the line above.# To use IPA server with openLDAP tools, please comment out your# existing configuration for these options and uncomment the# corresponding lines generated by IPA.## LDAP Defaults## See ldap.conf(5) for details# This file should be world readable but not world writable.#BASE dc=example,dc=com#URI ldap://ldap.example.com ldap://ldap-master.example.com:666#SIZELIMIT 12#TIMELIMIT 15#DEREF neverTLS_CACERTDIR /etc/openldap/certs# Turning this off breaks GSSAPI used with krb5 when rdns = falseSASL_NOCANON onURI ldaps://ip-10-0-0-170.ap-southeast-1.compute.internalBASE dc=ap-southeast-1,dc=compute,dc=internalTLS_CACERT /etc/ipa/ca.crtSASL_MECH GSSAPI[ec2-user@ip-10-0-0-170 ~]$設置這些默認值意味著您無需將太多選項傳遞給ldapsearch之類的工具。搜索更加容易：$ ldapsearch -x uid=admin而不是:$ ldapsearch -x -h ipa.example.com -b dc=example,dc=com uid=admin[ec2-user@ip-10-0-0-170 ~]$ ldapsearch -x uid=admin# extended LDIF## LDAPv3# base (default) with scope subtree# filter: uid=admin# requesting: ALL## admin, users, compat, ap-southeast-1.compute.internaldn: uid=admin,cn=users,cn=compat,dc=ap-southeast-1,dc=compute,dc=internalobjectClass: posixAccountobjectClass: ipaOverrideTargetobjectClass: topgecos: Administratorcn: AdministratoruidNumber: 1376400000gidNumber: 1376400000loginShell: /bin/bashhomeDirectory: /home/adminipaAnchorUUID:: OklQQTphcC1zb3V0aGVhc3QtMS5jb21wdXRlLmludGVybmFsOmJmYTI4NGI4LWE5MzktMTFlYS1iZmEzLTA2YTdiNzk2MzQwYQ==uid: admin# admin, users, accounts, ap-southeast-1.compute.internaldn: uid=admin,cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internalobjectClass: topobjectClass: personobjectClass: posixaccountobjectClass: krbprincipalauxobjectClass: krbticketpolicyauxobjectClass: inetuserobjectClass: ipaobjectobjectClass: ipasshuserobjectClass: ipaSshGroupOfPubKeysuid: admincn: Administratorsn: AdministratoruidNumber: 1376400000gidNumber: 1376400000homeDirectory: /home/adminloginShell: /bin/bashgecos: Administrator# search resultsearch: 2result: 0 Success# numResponses: 3# numEntries: 2[ec2-user@ip-10-0-0-170 ~]$Atlas與LDAP集成使用管理員用戶登錄Cloudera Manager，進入“群集”->Atlas->“配置”界面2.通過配置下方的搜索器搜索LDAP，可以看到涉及到Atlas Server部分3.配置外部身份驗證，具體配置參數如下：

參數名	值	描述
Atlas.ldap.url	ldaps://ip-10-0-0-170.ap-southeast-1.compute.internal:636	配置FreeIPA的LDAP URL
Atlas.ldap.bind.dn	uid=admin,cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal	配置用于搜索LDAP的管理員賬號
Atlas.ldap.bind.password	cloudera	管理員賬號的密碼
Atlas.ldap.user.dnpattern	uid={0},cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.ldap.user.searchfilter	uid={0}	LDAP用戶搜索過濾器。僅在身份驗證方法為LDAP時使用。
Atlas.ldap.group.searchbase	cn= groups,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.ldap.group.searchfilter	member={0}
Atlas.ldap.group.roleattribute	cn
Atlas.ldap.base.dn	cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.ldap.referral	follow	如果將多個LDAP服務器配置為返回結果的連續引用，則設置為遵循。如果不應該引用，則設置為忽略(默認)。當將此參數設置為throw時，在拋出ReferralException之前，所有常規條目都首先在枚舉中返回。
Atlas.usersync.source.impl.class	org.apache.Atlas.ldapusersync.process.LdapUserGroupBuilder	分別對應Unix用戶同步，文件系統同步，和LDAP用戶同步。這些選擇LDAP
Atlas.usersync.ldap.url	ldaps://ip-10-0-0-170.ap-southeast-1.compute.internal:636
Atlas.usersync.ldap.binddn	uid=admin,cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.usersync.ldap.ldapbindpassword	cloudera
Atlas.usersync.ldap.deltasync	Atlas Usersync Default Group	復選
Atlas.usersync.ldap.searchBase	cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.usersync.ldap.user.searchbase	cn=users,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal
Atlas.usersync.ldap.user.searchscope	sub	用戶的搜索范圍。值“ base”表示僅應考慮在Atlas.usersync.ldap.user.searchbase中指定為搜索基礎的條目。“one”表示僅應考慮在Atlas.usersync.ldap.user.searchbase中指定為搜索基礎的條目的直接子級。“ Sub”表示應該考慮在Atlas.usersync.ldap.user.searchbase中指定為搜索基礎的條目及其所有子級的任何深度。
Atlas.usersync.ldap.user.searchfilter	(|(memberOf=cn=ipausers,cn= groups,cn=accounts,dc=ap-southeast-1,dc=compute,dc=internal))
Atlas.usersync.ldap.user.nameattribute	uid
Atlas.usersync.ldap.user.nameattribute	ignore
Atlas.usersync.group.usermapsyncenabled	Atlas Usersync Default Group	復選
Atlas.usersync.user.searchenabled	Atlas Usersync Default Group	復選
Atlas.usersync.group.searchenabled	Atlas Usersync Default Group	復選
Atlas.authentication.method	LDAP	登錄到Atlas Admin的身份驗證方法。

4.完成上述配置后，保存更改，重啟Atlas服務應用配置以上完成Atlas與FreeIPA的LDAP的集成。Atlas用戶同步通過Cloudera Manager-> 群集 -> Atlas->Atlas Web UI,點擊Atlas Web UI，跳轉到對應的頁面。使用系統配置的admin用戶和使用FreeIPA中的admin用戶都可以登錄到atlas，結果相同。使用FreeIPA中的其他ldap用戶superuser登錄atlas，正常登陸。總結提供CM將Atlas集成FreeIPA的LDAP，這個整個管控管理系統可以使用一套用戶管理體系，減少了用戶同步的維護操作。 創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的gitlab 将管理员权限移交给ldap账户_CDPDC中Atlas集成FreeIPA的LDAP认证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。