我的实际任务是让所有团队都可以使用我们的 Kerberized Hadoop 集群。现在我们公司有一个非常奇怪的设置:
- Hadoop集群有一个专用的KDC(带有LDAP后端的openSUSE Kerberos)
- 我们有一个辅助 LDAP 列表,没有 KDC(具有读/写权限)
- 我们有带有 LDAP 的 Microsoft AD,两者都是只读的,并且根据安全策略,不允许从 AD 到 Hadoop Kerberos 的跨领域信任。 AD-LDAP处于只读模式。
现在我的任务是允许辅助 LDAP 和 AD-LDAP 的用户使用 Hadoop,因此专用 KDC 必须以某种方式了解它们。
我在想什么:
- 也许我可以添加只读 LDAP 目录作为额外的 Kerberos 后端?
@LDAP
我可以安装额外的 Kerberos 来管理具有额外领域(例如&@ADLDAP
或类似)的 LDAP 。然后创建跨领域信任。但是,我仅对辅助 LDAP 拥有写入权限,对 AD-LDAP 没有写入权限,因此我认为无法轻松地添加跨领域信任。- 我可以尝试定义某种名称转换,以便
ldapsearch
允许的用户被视为krbtgt/HADOOP@ADLDAP
.