使用符合LDAP的身份服务配置身份认证

如何在Cloudera Manager中使用LDAP配置身份认证。前序博文见

在Cloudera Manager中使用LDAP配置身份认证

LDAP兼容的身份/目录服务（例如OpenLDAP）提供了不同的选项，以使Cloudera Manager能够在目录中查找用户帐户和组：

• 使用单个专有名称（DN）作为基础，并提供一种模式（专有名称模式）以匹配目录中的用户名，或者

• 搜索过滤器选项使您可以根据更广泛的搜索条件来搜索特定用户-例如，Cloudera Manager用户可以是不同组或组织单位（OU）的成员，因此单个模式无法找到所有这些用户。搜索过滤器选项还使您可以找到用户所属的所有组，以帮助确定该用户是否应具有登录名或管理员访问权限。

1)登录到Cloudera Manager管理控制台。

2)选择管理>设置。

3)为 类别过滤器选择外部身份认证以显示设置。

4)对于“身份认证后端顺序”，选择Cloudera Manager应为登录尝试查找身份认证凭证的顺序。

5)对于“外部身份认证类型”，选择“ LDAP”。

6)在LDAP URL属性中，提供LDAP服务器的URL和（可选）作为URL的一部分的基础专有名称（DN）（搜索基础）（例如） ldap://ldap-server.corp.com/dc=corp,dc=com。

7)如果您的服务器不允许匿名绑定，请提供用于绑定到目录的用户DN和密码。这些是LDAP绑定用户专有名称和 LDAP绑定密码属性。默认情况下，Cloudera Manager假定匿名绑定。

8)使用以下方法之一搜索用户和组：

•您可以使用“用户”或“组”搜索过滤器，LDAP User Search Base, LDAP User Search Filter, LDAP Group Search Base and LDAP Group Search Filter设置进行搜索。这些允许您将基本DN与搜索过滤器结合使用，以允许更大范围的搜索目标。

例如，如果要认证可能属于多个OU之一的用户，则搜索过滤器机制将允许这样做。您可以将用户搜索基础DN指定为 dc=corp,dc=com，将用户搜索过滤器指定为 uid=。然后，Cloudera Manager将在从基本DN开始的树中任何位置搜索用户。假设你有两个OUs-ou=Engineering和ou=Operations-Cloudera经理会发现用户“foo”是否存在在这些OU中，如果存在， 则为uid=foo,ou=Engineering,dc=corp,dc=com或 uid=foo,ou=Operations,dc=corp,dc=com。

您可以将用户搜索过滤器与DN模式一起使用，以便在DN模式搜索失败时，搜索过滤器可以提供备用。

“组”过滤器使您可以搜索以确定DN或用户名是否是目标组的成员。在这种情况下，您提供的过滤器可能类似于 member=将要认证的用户的DN替换为的地方。对于需要用户名的过滤器，可以使用 ，即 memberUid=，这将返回用户所属的组列表，该列表将与讨论的组属性中的列表进行比较。

• 或者，指定一个基本的专有名称（DN），然后在LDAP专有名称模式 属性中提供“专有名称模式” 。

在模式中使用来指示用户名应该去哪里。例如，要搜索uid属性是用户名的专有名称 ，您可以提供类似于的模式uid=,ou=People,dc=corp,dc=com。Cloudera Manager将登录时提供的名称替换为该模式，并搜索该特定用户。因此，如果用户在Cloudera Manager登录页面上提供用户名“ foo”，则Cloudera Manager将搜索DNuid=foo,ou=People,dc=corp,dc=com。

如果您提供了基本DN和URL，则该模式仅需要指定DN模式的其余部分。例如，如果您提供的URL是 ldap://ldap-server.corp.com/dc=corp,dc=com，模式是 uid=,ou=People，则搜索DN将是 uid=foo,ou=People,dc=corp,dc=com。

9)重新启动Cloudera Manager Server。

配置Cloudera Manager以使用LDAPS

如果LDAP服务器证书已由受信任的证书颁发机构签名，则下面的步骤1和2可能不是必需的。

1) 将CA证书文件复制到Cloudera Manager Server主机。

2) 将CA证书从CA证书文件导入本地truststore。默认truststore位于 $JAVA_HOME/jre/lib/security/cacerts文件中。

这包含JDK随附的默认CA信息。在cacerts文件的相同位置 创建一个备用默认文件jssecacerts。现在，您可以安全地为默认cacerts文件中不存在的任何私有或公共CA附加CA证书，同时保持原始文件不变。

对于我们的示例，我们将遵循以下建议：将默认cacerts文件复制到新 jssecacerts文件中，然后将CA证书导入此备用truststore。

注意

Cacerts存储的默认密码是changeit。在-alias并不总是需要的域名。

另外，您可以使用Java选项： javax.net.ssl.trustStore和 javax.net.ssl.trustStorePassword。打开 /etc/default/cloudera-scm-server文件并添加以下选项：

3) 配置LDAP URL属性以 代替 ldaps://ldap_serverldap://ldap_server

4) 重新启动Cloudera Manager Server。