Isilon: Hadoop-salausvyöhykettä ei voi luoda RangerKMS:n ja Active Directory Kerberoksen avulla
Summary: Kun Hadoop-salausvyöhykettä yritetään luoda, sen luonti epäonnistuu ja käyttäjänimi on klusterin nimi HDFS-käyttäjän sijaan.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Kun Hadoop-salausvyöhykettä yritetään luoda OneFS 8.2:lla, Ambari 2.7.3:lla ja HDP 3.1.4.0-315:llä, vyöhykkeen luonti epäonnistuu, koska avainta ei löydy.
HDP-klusteri asennettu ja kerberoitu Active Directoryn kanssa, Ranger otettu käyttöön Ranger KMS:n kanssa. Avaimet luodaan KMS:
ssä[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Avainten listausavaimet: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Salausvyöhykettä luotaessa näkyy seuraava virhe:
# isi hdfs salausvyöhykkeet create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Salausvyöhykkeen luonti epäonnistui: GetKeyMetaData: KMS:n palautusHTTP-tila: 403; Etäpoikkeusviesti: Käyttäjä:ISILONS-2G88EXB$ ei saa tehdä 'GET_METADATA' 'keyalla'; Pyyntö: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Viitattu käyttäjätili, jolla ei ole GET_METADATA käyttöoikeutta, on AD-koneobjektitili: ISILONS-2G88EXB$ , ei hdfs-palvelutili ei voi lisätä tätä AD-objektia Ranger KMS: ään käyttäjätilin oikeutena, $ estää lisäyksen.
hdfs-tili on lisätty KMS:ään vaaditulla Get_Metadata-oikeudella, (katso kuvakaappaus)
pipe1-1# isi todennuskartoitustunnus --zone=zone3 --user=foo\ISILONS-2G88EXB$
Käyttäjänimi:
FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
levyllä: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Vyöhyke: vyöhyke3
Oikeudet: -
Ensisijaisen ryhmän
nimi: FOOdomain computers < -- tietokoneobjektin
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
levyllä: S-1-5-21-856609431-2249676204-1531082451-515
Lisähenkilöllisyydet
Nimi: Todennettujen käyttäjien
SID-tunnus: S-1-5-11
Edellä esitetyn perusteella TDE:tä Ranger KMS:n ja AD:n kanssa ei tueta tällä hetkellä.
Cause
Suunnittelun mukaan AD kerberos + RangerKMS -skenaariota ei tueta virallisesti tällä hetkellä, eikä nykyistä valkoista kirjaa muuteta.
Resolution
RFE (Request for Enhancement) on tällä hetkellä vaihtoehto.
Koska sitä pidetään ominaisuutena, PdM: n on puututtava aikataulun asettamiseen, on suositeltavaa, että tilitiimi ottaa yhteyttä tuotetiimiin lisäsuunnitelman saamiseksi.
Koska sitä pidetään ominaisuutena, PdM: n on puututtava aikataulun asettamiseen, on suositeltavaa, että tilitiimi ottaa yhteyttä tuotetiimiin lisäsuunnitelman saamiseksi.
Additional Information
HDFS-viiteoppaat ja TDE:n tutkimusmatkaoppaat:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.