Isilon: No se puede crear una zona de cifrado de Hadoop con RangerKMS y Active Directory Kerberos
Summary: Cuando se intenta crear una zona de cifrado de Hadoop, la creación falla y el nombre de usuario es el nombre del clúster en lugar del usuario de HDFS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Cuando se intenta crear una zona de cifrado de Hadoop con OneFS 8.2, Ambari 2.7.3 y HDP 3.1.4.0-315, la creación de la zona falla, ya que no se puede obtener la clave.
Clúster de HDP instalado y kerberizado con Active Directory, Ranger implementado con Ranger KMS. Las claves se crean en KMS[
hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms Enumeración de
claves para KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Al crear la zona de cifrado, vemos el siguiente error:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
La llamada de creación de la zona de cifrado falló: GetKeyMetaData: KMS devuelve el estado HTTP: 403; Mensaje de excepción remota: Usuario:ISILONS-2G88EXB$ no puede hacer 'GET_METADATA' en 'keya'; Solicitud: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
La cuenta de usuario a la que se hace referencia sin acceso a GET_METADATA es la cuenta de objeto de la máquina AD: ISILONS-2G88EXB$ , no es la cuenta de servicio hdfs no se puede agregar este objeto de AD en Ranger KMS como privilegio de cuenta de usuario, $ impide la adición.
La cuenta hdfs se agrega en KMS con el privilegio de Get_Metadata requerido, (consulte la captura de pantalla)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Nombre de usuario:
FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
En disco: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: zone3
Privilegios: -
Nombre del grupo
principal: FOOdomain computers < -- objeto
de computadora GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
En disco: S-1-5-21-856609431-2249676204-1531082451-515
Nombre de identidades
complementarias: SID de usuarios
autenticados: S-1-5-11
Según el comportamiento anterior, TDE con Ranger, KMS y AD no es compatible en este momento.
Cause
Según el equipo de ingeniería, el escenario de AD Kerberos + RangerKMS no se admite oficialmente en este momento y no se cambiaría la documentación técnica actual.
Resolution
RFE (Solicitud de mejora) es la opción en este momento.
Debido a que se considerará como una característica, se requiere que PdM intervenga para establecer el programa. Se recomienda que el equipo de cuenta se comunique con el equipo de productos para obtener más planificación.
Debido a que se considerará como una característica, se requiere que PdM intervenga para establecer el programa. Se recomienda que el equipo de cuenta se comunique con el equipo de productos para obtener más planificación.
Additional Information
Guías de documentación técnica de TDE y referencia de HDFS:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
PowerScale OneFS HDFS Reference Guide
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.