나의 실제 임무는 Kerberized Hadoop 클러스터를 모든 팀에서 사용할 수 있도록 만드는 것입니다. 현재 우리 회사는 매우 이상한 설정을 가지고 있습니다.
- Hadoop 클러스터에는 전용 KDC(LDAP 백엔드가 있는 openSUSE Kerberos)가 있습니다.
- KDC가 없는(읽기/쓰기 권한이 있는) 보조 LDAP 목록이 있습니다.
- LDAP가 포함된 Microsoft AD가 있는데 둘 다 읽기 전용이며 보안 정책에 따라 AD에서 Hadoop Kerberos로의 영역 간 신뢰는 허용되지 않습니다. AD-LDAP가 읽기 전용 모드입니다.
이제 저는 보조 LDAP 및 AD-LDAP 사용자가 Hadoop을 사용하도록 허용하는 임무를 맡고 있으므로 전용 KDC는 이에 대해 어떻게든 알아야 합니다.
나는 무엇을 생각하고 있습니까?
- 추가 Kerberos 백엔드로 읽기 전용 LDAP 디렉토리를 추가할 수 있을까요?
@LDAP@ADLDAP추가 영역(예: & 또는 유사)으로 LDAP를 관리하기 위해 추가 Kerberos를 설치할 수 있습니다 . 그런 다음 도메인 간 신뢰를 만듭니다. 하지만 AD-LDAP가 아닌 보조 LDAP에 대한 쓰기 권한만 있으므로 교차 영역 신뢰를 쉽게 추가할 수 없을 것 같습니다.- 허용된 사용자
ldapsearch가krbtgt/HADOOP@ADLDAP.