如何将 Kerberos 与多个 LDAP 服务器连接?

如何将 Kerberos 与多个 LDAP 服务器连接?

我的实际任务是让所有团队都可以使用我们的 Kerberized Hadoop 集群。现在我们公司有一个非常奇怪的设置:

  1. Hadoop集群有一个专用的KDC(带有LDAP后端的openSUSE Kerberos)
  2. 我们有一个辅助 LDAP 列表,没有 KDC(具有读/写权限)
  3. 我们有带有 LDAP 的 Microsoft AD,两者都是只读的,并且根据安全策略,不允许从 AD 到 Hadoop Kerberos 的跨领域信任。 AD-LDAP处于只读模式。

现在我的任务是允许辅助 LDAP 和 AD-LDAP 的用户使用 Hadoop,因此专用 KDC 必须以某种方式了解它们。

我在想什么:

  • 也许我可以添加只读 LDAP 目录作为额外的 Kerberos 后端?
  • @LDAP我可以安装额外的 Kerberos 来管理具有额外领域(例如&@ADLDAP或类似)的 LDAP 。然后创建跨领域信任。但是,我仅对辅助 LDAP 拥有写入权限,对 AD-LDAP 没有写入权限,因此我认为无法轻松地添加跨领域信任。
  • 我可以尝试定义某种名称转换,以便ldapsearch允许的用户被视为krbtgt/HADOOP@ADLDAP.

相关内容