Ісілон: Не вдається створити зону шифрування Hadoop за допомогою RangerKMS та Active Directory Kerberos
Summary: При спробі створити зону шифрування Hadoop створення не вдається, і ім'я користувача йде як ім'я кластера, а не HDFS user.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
При спробі створити зону шифрування Hadoop за допомогою OneFS 8.2, створення зон Ambari 2.7.3 і HDP 3.1.4.0-315 не вдається, оскільки ми не можемо отримати ключ.
Встановлено кластер HDP та керберизовано за допомогою Active Directory, Ranger розгорнуто з Ranger KMS. Ключі створюються в KMS
[hdpuser1@centos-05 ~]$ список ключів hadoop -provider kms:// http@centos-05.foo.com:9292/kms
Список ключів для KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keyb
При створенні зони шифрування ми бачимо наступну помилку:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Не вдалося викликати зону шифрування: GetKeyMetaData: Статус HTTP повертає KMS: 403; Повідомлення про віддалене виключення: User:ISILONS-2G88EXB$ не дозволено робити 'GET_METADATA' на 'keya'; Запит: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Посилання на обліковий запис користувача без доступу до GET_METADATA є об'єктним обліковим записом AD machine: ISILONS-2G88EXB$ , а не обліковий запис служби hdfs не може додати цей об'єкт AD до Ranger KMS як привілей облікового запису користувача, $ запобігає додаванню.
Обліковий запис hdfs додається в KMS з необхідними привілеями Get_Metadata, (див. знімок екрана)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Ім'я користувача:
FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
На диску: С-1-5-21-856609431-2249676204-1531082451-1738
ЗІД:
5 Зона: зона3
Привілеї: -
Основна назва групи
: FOOdomain computers < -- комп'ютерний об'єкт
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
На диску: S-1-5-21-856609431-2249676204-1531082451-515
Додаткова ідентифікаційна
назва: SID автентифікованих користувачів
: S-1-5-11
: Виходячи з вищезазначеної поведінки, TDE з Ranger KMS і AD наразі не підтримується.
Cause
Згідно з інженерними розробками, сценарій AD kerberos + RangerKMS на даний момент офіційно не підтримується, і поточна біла книга не буде змінена.
Resolution
RFE (Request for Enhancement) – це опція на даний момент.
Оскільки це буде розглядатися як функція, PdM зобов'язаний втрутитися для встановлення розкладу, рекомендується, щоб команда облікового запису зв'язалася з командою продукту для подальшого планування.
Оскільки це буде розглядатися як функція, PdM зобов'язаний втрутитися для встановлення розкладу, рекомендується, щоб команда облікового запису зв'язалася з командою продукту для подальшого планування.
Additional Information
Довідник HDFS та посібники з білої книги TDE:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
Довідковий посібник PowerScale OneFS HDFS
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.