文档

Hue对接LDAP

更新时间:

当您使用LDAP管理用户账号,访问Hue时需进行LDAP相关的配置。本文以Hue对接E-MapReduce自带的OpenLDAP为例,介绍如何配置Hue后端对接LDAP,并通过LDAP进行身份验证。自建的LDAP请您根据实际情况修改参数。

操作步骤

  1. 进入hue页面。

    1. 登录E-MapReduce控制台

    2. 在顶部菜单栏处,根据实际情况选择地域和资源组

    3. 在EMR on ECS页面,单击目标集群操作列的集群服务

    4. 单击HUE服务区域的配置

    5. 配置页签,单击hue

  2. 修改backend的值为desktop.auth.backend.LdapBackend

  3. 增加自定义配置。

    1. 单击新增配置项,添加如下配置项,单击确定

      重要

      增加下表的自定义配置时,只有desktop.ldap.bind_password参数需要在E-MapReduce控制台获取,其余参数请按表格中给出的参数值填写。

      配置项

      描述

      示例值

      desktop.ldap.ldap_url

      LDAP服务器的URL。

      ldap://emr-header-1:10389

      desktop.ldap.bind_dn

      绑定的管理员用户dn,该dn用于连接到LDAP或AD以搜索用户和用户组信息。如果LDAP服务器支持匿名绑定,则此项可不设置。

      uid=admin,o=emr

      desktop.ldap.bind_password

      绑定的管理员用户dn的密码。

      说明

      需要在E-MapReduce控制台上,通过OpenLDAP的服务配置获取admin_pwd的值,即为密码。

      desktop.ldap.ldap_username_pattern

      LDAP用户名dn匹配模式,描述了username如何对应到LDAP中的dn。必须包含<username>字符串才能在身份验证期间用于替换。

      uid=<username>,ou=people,o=emr

      desktop.ldap.base_dn

      用于搜索LDAP用户名及用户组的base dn。

      ou=people,o=emr

      desktop.ldap.search_bind_authentication

      是否使用desktop.ldap.bind_dndesktop.ldap.bind_password配置中提供的凭据,搜索绑定身份验证连接到LDAP服务器。

      false

      desktop.ldap.use_start_tls

      是否尝试与用ldap://指定的LDAP服务器建立TLS连接。

      false

      desktop.ldap.create_users_on_login

      用户尝试以LDAP凭据登录后,是否在Hue中创建用户。

      true

    2. 在弹出的对话框中,输入执行原因,单击保存

  4. 部署配置。

    1. 单击部署客户端配置

    2. 在弹出的对话框中,输入执行原因,单击确定

    3. 确认对话框中,单击确定

  5. 重启Hue。

    重启Hue成功后,您就可以在Hue中访问开启LDAP认证的引擎了。

    DataLake集群

    如果您在DataLake集群中自建Hue,则重启Hue的步骤如下所示:

    1. 登录集群的Master节点,详情请参见登录集群

    2. 使用root用户执行以下命令,停止Hue服务。

      # 使用grep查找并列出所有与Hue相关的进程。
         ps -ef | grep hue
         
      # 根据上一步的输出, kill相关Hue进程。例如,如果进程ID为12345,执行命令如下。
         kill 12345
    3. 使用root用户执行以下命令,启动Hue服务。

      source /opt/apps/hue/build/env/bin/activate
      supervisor

    Hadoop集群

    1. 在右上角选择更多操作 > 重启

    2. 在弹出的对话框中,填写执行原因,单击确定

    3. 确认对话框中,单击确定

后续步骤

重要

对接LDAP之后,原有的管理员账号admin已经不能登录,新的管理员用户为对接LDAP之后第一个登录的用户。

访问Hue,请参见使用说明