服务开启LDAP认证功能后,访问服务需要提供LDAP身份认证(LDAP用户名和密码),可以提升服务的安全性。开启LDAP认证的功能可以方便您使用LDAP认证,避免了复杂的配置过程。

前提条件

  • 已创建EMR-3.34.0及后续版本或EMR-4.8.0及后续版本的Hadoop集群,创建集群详情请参见创建集群
  • 创建Knox账号,详情请参见用户管理
  • 已开启8443端口,开启详情请参见设置安全组访问

背景信息

本文为您介绍如何开启和关闭Ranger Admin和Ranger UserSync的LDAP认证功能。

Ranger Admin开启LDAP认证

  1. 进入Ranger页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏,选择集群服务 > Ranger
  2. 开启LDAP认证。
    1. 在Ranger服务页面,选择右上角的操作 > Admin开启LDAP认证
    2. 执行集群操作对话中,单击确认
  3. 单击上方的查看操作历史
    直至操作状态显示成功
  4. 重启RangerAdmin。
    1. 在Ranger服务页面,选择右上角的操作 > 重启RangerAdmin
    2. 执行集群操作对话中,输入执行原因,单击确定
    3. 确认对话中,单击确定
    Ranger Admin开启LDAP后,登录Ranger Web UI时需要使用LDAP的用户名和密码,原有的admin用户还可以继续使用。登录的LDAP用户默认只有user权限,需要admin用户给LDAP用户赋予需要的权限。

Ranger Admin关闭LDAP认证

  1. 进入Ranger页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏,选择集群服务 > Ranger
  2. 关闭LDAP认证。
    1. 在Ranger服务页面,选择右上角的操作 > Admin关闭LDAP认证
    2. 执行集群操作对话中,单击确认
  3. 单击上方的查看操作历史
    直至操作状态显示成功
  4. 重启RangerAdmin。
    1. 在Ranger服务页面,选择右上角的操作 > 重启RangerAdmin
    2. 执行集群操作对话中,输入执行原因,单击确定
    3. 确认对话中,单击确定

Ranger UserSync开启LDAP认证

  1. 进入Ranger页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏,选择集群服务 > Ranger
  2. 开启LDAP认证。
    1. 在Ranger服务页面,选择右上角的操作 > UserSync开启LDAP认证
    2. 执行集群操作对话中,单击确认
  3. 单击上方的查看操作历史
    直至操作状态显示成功
  4. 重启RangerUserSync。
    1. 在Ranger服务页面,选择右上角的操作 > 重启RangerUserSync
    2. 执行集群操作对话中,输入执行原因,单击确定
    3. 确认对话中,单击确定
    Ranger UserSync开启LDAP认证后,能够同步LDAP中的用户信息至Ranger中,以便于在配置Ranger的Policy时,可以授权LDAP中的用户或用户组访问组件。
    开启LDAP认证后,您可以在Ranger Web UI的Settings > Users/Groups中查看从LDAP中同步过来的用户。settings
    您也可以在Ranger Web UI中的Audit > User Sync中查看,当Sync SourceLDAP/AD时,表示同步用户来源为LDAP。LDAP

Ranger UserSync关闭LDAP认证

  1. 进入Ranger页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏,选择集群服务 > Ranger
  2. 关闭LDAP认证。
    1. 在Ranger服务页面,选择右上角的操作 > UserSync关闭LDAP认证
    2. 执行集群操作对话中,单击确认
  3. 单击上方的查看操作历史
    直至操作状态显示成功
  4. 重启RangerUserSync。
    1. 在Ranger服务页面,选择右上角的操作 > 重启RangerUserSync
    2. 执行集群操作对话中,输入执行原因,单击确定
    3. 确认对话中,单击确定