使用LDAP认证

服务开启LDAP认证功能后,访问服务需要提供LDAP身份认证(LDAP用户名和密码),可以提升服务的安全性。开启LDAP认证的功能可以方便您使用LDAP认证,避免了复杂的配置过程。

前提条件

已创建DataLake或自定义集群,且选择了Hive和OpenLDAP服务,详情请参见创建集群

一键配置LDAP认证

  1. 添加EMR用户,详情请参见添加用户

  2. 进入集群服务页面。

    1. 登录E-MapReduce控制台

    2. 在左侧导航栏,单击EMR on ECS

    3. 在顶部菜单栏处,根据实际情况选择地域和资源组

    4. EMR on ECS页面,单击目标集群操作列的集群服务

  3. 开启LDAP认证。

    1. 集群服务页面,单击Hive服务区域的状态

    2. 打开enableLDAP开关。

      • EMR-5.11.1及之后版本,EMR-3.45.1及之后版本

        1. 服务概述区域,打开enableLDAP开关。

        2. 在弹出的对话框中,单击确定

      • EMR-5.11.0及之前版本,EMR-3.45.0及之前版本

        1. 组件列表区域,选择HiveServer操作列的more > enableLDAP

        2. 在弹出的对话框中,输入执行原因,单击确定

        3. 确认对话框中,单击确定

    3. 重启HiveServer。

      1. 组件列表区域,单击HiveServer操作列的重启

      2. 在弹出的对话框中,输入执行原因,单击确定

      3. 确认对话框中,单击确定

  4. 连接HiveServer。

    开启LDAP认证后,当您连接HiveServer时需要提供LDAP认证凭据。

    1. 通过SSH方式连接集群,请参见登录集群

    2. 执行以下命令,连接HiveServer。

      • Beeline客户端:

        beeline -u jdbc:hive2://master-1-1:10000 -n <user> -p <password>
      • JDBC:

        jdbc:hive2://master-1-1:10000/default;user=<user>;password=<password>
      说明

      <user>为LDAP的用户名,<password>为LDAP的密码,即您在步骤1添加的用户名和密码。

手动配置LDAP认证

EMR控制台提供了enableLDAP按钮,可以一键开启LDAP认证功能。如果您的EMR版本较低,或者需要对接自建的LDAP服务,则只能使用手动配置的方式来启用HiveServer2的LDAP认证。

需要您在EMR控制台Hive服务的配置页面,在hiveserver2-site.xml页签,添加以下配置项。添加配置项的具体操作,请参见管理配置项

配置项

参考值

说明

hive.server2.authentication

LDAP

用于指定Hive Server2的认证方式。

hive.server2.authentication.ldap.url

ldap://{ldap_hostname}:{port}

例如:ldap://master-1-1:10389

用于指定连接LDAP服务的URL。需要根据实际情况进行配置。

  • {ldap_hostname}:LDAP服务的主机名或IP地址。如果对接EMR集群的LDAP服务,通常为emr-header-1。

  • {port}:LDAP服务的端口,EMR集群的LDAP服务端口为10389,自建LDAP服务请根据实际情况填写。

hive.server2.authentication.ldap.baseDN

ou=people,o=emr

用于指定LDAP服务中用户所在的Base DN,EMR集群的LDAP为ou=people,o=emr,自建LDAP服务请根据实际情况填写。