08-如何为Navigator集成Active Directory认证

温馨提示：如果使用电脑查看图片不清晰，可以使用手机打开文章单击文中的图片放大查看高清原图。

Fayson的github： https://github.com/fayson/cdhproject

提示：代码块部分可以左右滑动查看噢

1.文档编写目的

Fayson在前面的文章《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》、《06-如何为Impala集成AD认证》和《07-如何为Hue集成AD认证》。本篇文章Fayson主要介绍Navigator集成Active Directory认证。

• 内容概述

1.测试环境描述

2.Navigator集成Active Directory

3.Navigator集成验证

4.总结

• 测试环境

1.RedHat7.3

2.CM和CDH版本为5.15

3.集群已启用Kerberos

• 前置条件

1.Active Directory已安装且正常使用

2.测试环境描述

Fayson在前面介绍了《Cloudera Navigator介绍与安装》，这里就不再重复讲Navigator的安装了。

• OpenLDAP服务信息

3.Navigator与AD集成

1.使用管理员用户登录Cloudera Manager，进入Cloudera Management Service服务的配置界面

2.通过左侧的筛选器过滤Navigator Metadata服务的外部身份验证

3.配置为LDAP认证方式，具体配置参数如下：

4.完成上述配置后，回到实例列表选择Navigator Metadata服务并重启

以上完成Navigator与AD的集成。

4.分配角色组及验证

1.使用admin用户登录Cloudera Navigator管理平台，进入角色管理界面

2.通过截图中的搜索栏查看AD中的hive组

3.点击搜索出来的组名，进入角色分配界面

为hive组分配超级管理员角色

为groupa组分配角色

以上完成了对AD中组权限的分配，拥有相应组的用户即有对应的Navigator的操作权限。

4.使用测试用户登录测试，查看用户拥有的权限

hiveadmin用户拥有的权限

testa用户拥有的权限

5.使用testb用户所属组为groupb，未分配角色的组登录测试，提示用户没有权限访问

5.总结

1.Navigator与AD集成需要配置拥有管理权限的cloudera-scm用户，注意这里不需要配置为cn=cloudera-scm,cn=Users,dc=fayson,dc=com模式。

2.在AD中为用户添加组时，不要将新添加的组设置为主要组，如下图所示：

3.Navigator集成AD后，需要为用户所在组分配角色，否则用户是没有权限访问Navigator服务。

4.在配置了AD组的操作权限后，可以将Navigator的身份验证后端顺序配置修改为“仅外部”，可以限制CM默认的用户登录Navigator。

提示：代码块部分可以左右滑动查看噢

为天地立心，为生民立命，为往圣继绝学，为万世开太平。 温馨提示：如果使用电脑查看图片不清晰，可以使用手机打开文章单击文中的图片放大查看高清原图。