Isilon: Nelze vytvořit zónu šifrování Hadoop pomocí serveru RangerKMS a protokolu Kerberos služby Active Directory.
Summary: Při pokusu o vytvoření zóny šifrování Hadoop se vytváření nezdařilo a uživatelské jméno se zobrazuje jako název clusteru místo uživatele HDFS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Při pokusu o vytvoření zóny šifrování Hadoop pomocí systému OneFS 8.2 selže vytvoření zóny Ambari 2.7.3 a HDP 3.1.4.0-315, protože nelze získat klíč.
Cluster HDP nainstalovaný a ověřený službou Active Directory pomocí služby Ranger, Ranger nasazený se službou Ranger KMS. Klíče se vytvářejí v KMS
[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Výpis klíčů pro KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Při vytváření zóny šifrování se zobrazí následující chyba:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone=zone3 -v
volání Create Encryption Zone se nezdařilo: GetKeyMetaData: Služba správy klíčů vrátí stav HTTP: 403; Vzdálená zpráva o výjimce: Uživatel:ISILONS-2G88EXB$ nesmí provádět 'GET_METADATA' na 'keya'; Požadavek: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Odkazovaný uživatelský účet bez přístupu k GET_METADATA je účet objektu počítače AD: ISILONS-2G88EXB$ , nikoli účet služby hdfs nemůže přidat tento objekt AD do serveru Ranger KMS jako oprávnění k uživatelskému účtu, $ brání přidání.
hdfs účet je přidán do KMS s požadovaným oprávněním Get_Metadata, (viz screenshot)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Uživatelské
jméno: FOOisilons-2g88exb$
UID:
1000008 identifikátor SID: S-1-5-21-856609431-2249676204-1531082451-1738
Na disku: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zóna: zóna 3
Oprávnění: -
Primární název skupiny
: FOOdomain computers < -- GID objektu
počítače:
1000003 identifikátor SID: S-1-5-21-856609431-2249676204-1531082451-515
Na disku: S-1-5-21-856609431-2249676204-1531082451-515
Název doplňkové identity
: Identifikátor SID ověřených uživatelů
: S-1-5-11
Na základě výše uvedeného chování Transparentní šifrování dat s Ranger KMS a AD se v tuto chvíli nepodporuje.
Cause
Technický tým uvádí, že scénář AD kerberos + RangerKMS není v tuto chvíli oficiálně podporován a aktuální dokument whitepaper se nezmění.
Resolution
RFE (Request for Enhancement) je v tuto chvíli možnost.
Vzhledem k tomu, že se bude jednat o funkci, musí PdM zasáhnout do nastavení plánu, a proto se doporučuje, aby obchodní tým kontaktoval produktový tým ohledně dalšího plánu.
Vzhledem k tomu, že se bude jednat o funkci, musí PdM zasáhnout do nastavení plánu, a proto se doporučuje, aby obchodní tým kontaktoval produktový tým ohledně dalšího plánu.
Additional Information
Referenční příručka k HDFS a dokument whitepaper transparentního šifrování dat:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
Referenční příručka k systému PowerScale OneFS HDFS
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.