Isilon: Hadoop-Verschlüsselungszone kann mit RangerKMS und Active Directory Kerberos nicht erstellt werden
Summary: Beim Versuch, eine Hadoop-Verschlüsselungszone zu erstellen, schlägt die Erstellung fehl und der Nutzername wird als Clustername anstelle des HDFS-Nutzers angegeben.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Beim Versuch, eine Hadoop-Verschlüsselungszone mit OneFS 8.2, Ambari 2.7.3 und HDP 3.1.4.0-315 zu erstellen, schlägt die Erstellung der Zone fehl, da der Schlüssel nicht abgerufen werden kann.
HDP-Cluster installiert und Kerberized mit Active Directory, Ranger bereitgestellt mit Ranger KMS. Schlüssel werden erstellt in KMS
[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Auflistung der Schlüssel für KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Beim Erstellen der Verschlüsselungszone wird der folgende Fehler angezeigt:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Aufruf der Verschlüsselungszone erstellen: GetKeyMetaData: KMS-Rückgabe-HTTP-Status: 403; Remote-Ausnahmemeldung: Benutzer:ISILONS-2G88EXB$ darf nicht 'GET_METADATA' auf 'keya' machen; Anforderung: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Das referenzierte Nutzerkonto ohne Zugriff auf GET_METADATA ist das AD-Maschinenobjektkonto: ISILONS-2G88EXB$ , nicht das HDFS-Servicekonto Dieses AD-Objekt kann nicht als Nutzerkontoberechtigung zu Ranger KMS hinzugefügt werden. $ verhindert das Hinzufügen.
hdfs-Konto wird in KMS mit der erforderlichen Get_Metadata-Berechtigung hinzugefügt, (siehe Screenshot)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Nutzername:
FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
Auf der Festplatte: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: Berechtigungen: zone3
: -
Name der primären Gruppe
: FOOdomain computer < -- GID des Computerobjekts
:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
Auf Festplatte: S-1-5-21-856609431-2249676204-1531082451-515
Ergänzender Identitätsname
: SID der authentifizierten Nutzer
: S-1-5-11
: Basierend auf dem obigen Verhalten wird TDE mit Ranger KMS und AD derzeit nicht unterstützt.
Cause
Laut Technik wird das AD Kerberos + RangerKMS-Szenario derzeit nicht offiziell unterstützt und das aktuelle Whitepaper wird nicht geändert.
Resolution
RFE (Request for Enhancement) ist derzeit die Option.
Da PdM als Funktion betrachtet wird und der Zeitplan festgelegt werden muss, wird empfohlen, dass sich das Account-Team an das Produktteam wendet, um weitere Informationen zu erhalten.
Da PdM als Funktion betrachtet wird und der Zeitplan festgelegt werden muss, wird empfohlen, dass sich das Account-Team an das Produktteam wendet, um weitere Informationen zu erhalten.
Additional Information
HDFS-Referenz- und TDE-Whitepaper-Handbücher:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
PowerScale OneFS HDFS – Referenzhandbuch
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.