Isilon: Det går inte att skapa Hadoop-krypteringszon med RangerKMS och Active Directory Kerberos
Summary: När du försöker skapa en Hadoop-krypteringszon misslyckas skapandet och användarnamnet används som klusternamn i stället för HDFS-användare.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Vid försök att skapa en Hadoop-krypteringszon med OneFS 8.2, Ambari 2.7.3 och HDP 3.1.4.0-315 går det inte att skapa en zon eftersom vi inte kan hämta nyckeln.
HDP-kluster installerat och kerberiserat med Active Directory, Ranger distribuerat med Ranger KMS. Nycklar skapas i KMS[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Lista nycklar för KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya keyb
När vi skapar krypteringszonen
visas följande fel:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Det gick inte att skapa anrop till krypteringszonen: GetKeyMetaData: KMS returnerar HTTP-status: 403; Meddelande om fjärrundantag: Användare:ISILONS-2G88EXB$ får inte göra 'GET_METADATA' på 'keya'; Begäran: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Det refererade användarkontot utan åtkomst till GET_METADATA är AD-datorobjektkontot: ISILONS-2G88EXB$ , inte hdfs-tjänstkontot kan inte lägga till det här AD-objektet i Ranger KMS som ett användarkontoprivilegium, $ förhindrar tillägg.
hdfs-kontot läggs till i KMS med nödvändig Get_Metadata behörighet, (se skärmdump)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Användarnamn:
FOOisilons-2g88exb $
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
På disk: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zon: zon3
Behörigheter: -
Primärt gruppnamn
: FOOdomain-datorer < – GID för datorobjekt
:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
På disk: S-1-5-21-856609431-2249676204-1531082451-515
Namn på kompletterande identiteter
: SID för autentiserade användare
: S-1-5-11
Baserat på ovanstående beteende stöds inte TDE med Ranger KMS och AD just nu.
Cause
Enligt tekniker stöds inte AD kerberos + RangerKMS-scenariot officiellt just nu, och det aktuella informationsdokumentet skulle inte ändras.
Resolution
RFE (Request for Enhancement) är alternativet just nu.
Eftersom det kommer att betraktas som en funktion måste PdM ingripa för att ställa in schemat, rekommenderar vi att kontoteamet kontaktar produktteamet för ytterligare planering.
Eftersom det kommer att betraktas som en funktion måste PdM ingripa för att ställa in schemat, rekommenderar vi att kontoteamet kontaktar produktteamet för ytterligare planering.
Additional Information
HDFS-referens och TDE-informationsdokumentmanualer:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
Referensmanual för PowerScale OneFS HDFS
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.