Isilon: Hadoop-krypteringszone med RangerKMS og Active Directory Kerberos kan ikke oprettes
Summary: Når du forsøger at oprette en Hadoop-krypteringszone, mislykkes oprettelsen, og brugernavnet bruges som klyngenavn i stedet for HDFS-bruger.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Når du forsøger at oprette en Hadoop-krypteringszone med OneFS 8.2, mislykkes oprettelsen af Ambari 2.7.3- og HDP 3.1.4.0-315-zone, da vi ikke kan hente nøglen.
HDP-klynge installeret og Kerberized med Active Directory, Ranger implementeret med Ranger KMS. Nøgler oprettes i KMS
[hdpuser1@centos-05 ~]$ hadoop nøgleliste -udbyder kms:// http@centos-05.foo.com:9292/kms
Noteringsnøgler til KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Når vi opretter krypteringszonen, ser vi følgende fejl:
# isi hdfs kryptokrypteringszoner opretter --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Opret krypteringszoneopkald mislykkedes: GetKeyMetaData: KMS-retur HTTP-status: 403; Fjernmeddelelse om undtagelse: Bruger:ISILONS-2G88EXB$ må ikke lave 'GET_METADATA' på 'keya'; Anmodning: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Den brugerkonto, der henvises til uden adgang til GET_METADATA, er AD-maskinobjektkontoen: ISILONS-2G88EXB$ , ikke hdfs-tjenestekontoen kan ikke tilføje dette AD-objekt til Ranger KMS som brugerkontoprivilegium, $ forhindrer tilføjelse.
hdfs-konto tilføjes i KMS med påkrævet Get_Metadata-privilegium, (se skærmbillede)
pipe1-1# ISI auth mapping-token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Brugernavn:
FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
På disk: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: zone3
Rettigheder: -
Primært gruppenavn
: FOOdomain-computere < -- computerobjekt
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
På disk: S-1-5-21-856609431-2249676204-1531082451-515
Navn på supplerende identiteter
: Godkendte brugeres
SID: S-1-5-11
: Baseret på ovenstående funktionsmåde understøttes TDE med Ranger KMS og AD ikke på nuværende tidspunkt.
Cause
I henhold til teknikken understøttes AD kerberos + RangerKMS-scenariet ikke officielt på nuværende tidspunkt, og den aktuelle hvidbog vil ikke blive ændret.
Resolution
RFE (Request for Enhancement) er muligheden i øjeblikket.
Da det vil blive betragtet som en funktion, er PdM forpligtet til at gribe ind for at indstille tidsplanen, anbefales det, at kontoteamet kontakter produktteamet for yderligere plan.
Da det vil blive betragtet som en funktion, er PdM forpligtet til at gribe ind for at indstille tidsplanen, anbefales det, at kontoteamet kontakter produktteamet for yderligere plan.
Additional Information
HDFS-reference- og TDE-hvidbogsvejledninger:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
PowerScale OneFS HDFS-referencevejledning
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.