Isilon: Kan Hadoop-versleutelingszone niet maken met RangerKMS en Active Directory Kerberos
Summary: Wanneer u een Hadoop-versleutelingszone probeert te maken, mislukt het maken en wordt de gebruikersnaam gebruikt als clusternaam in plaats van als HDFS-gebruiker.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Wanneer u probeert een Hadoop-versleutelingszone te maken met OneFS 8.2, Ambari 2.7.3 en HDP 3.1.4.0-315 mislukt het maken van een zone omdat we de sleutel niet kunnen verkrijgen.
HDP-cluster geïnstalleerd en Kerberized met Active Directory, Ranger geïmplementeerd met Ranger KMS. Sleutels worden gemaakt in KMS
[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Listing keys for KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Bij het maken van de versleutelingszone zien we de volgende foutmelding:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Create Encryption Zone call failed: GetKeyMetaData: KMS retourneert HTTP-status: 403; Uitzonderingsbericht op afstand: Gebruiker:ISILONS-2G88EXB$ mag geen 'GET_METADATA' doen op 'keya'; Aanvraag: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Het gebruikersaccount waarnaar wordt verwezen zonder toegang tot GET_METADATA is het AD-machineobjectaccount: ISILONS-2G88EXB$ , niet het hdfs-serviceaccount kan dit AD-object niet toevoegen aan Ranger KMS als gebruikersaccountprivilege, de $ voorkomt toevoeging.
hdfs-account is toegevoegd in KMS met vereiste Get_Metadata-privilege, (zie screenshot)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
User
Name: FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
On Disk: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: zone3
Privileges: -
Primaire groepsnaam
: FOOdomain computers < -- computer object
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
On Disk: S-1-5-21-856609431-2249676204-1531082451-515
Supplemental Identities
Name: Sid van geverifieerde gebruikers
: S-1-5-11
Op basis van het bovenstaande gedrag wordt TDE met Ranger KMS en AD op dit moment niet ondersteund.
Cause
Volgens engineering wordt het AD kerberos + RangerKMS-scenario op dit moment niet officieel ondersteund en zou het huidige witboek niet worden gewijzigd.
Resolution
RFE (Request for Enhancement) is op dit moment de optie.
Omdat het wordt beschouwd als een functie en PdM moet ingrijpen om de planning in te stellen. Het wordt aanbevolen dat het accountteam contact opneemt met het productteam voor verdere plannen.
Omdat het wordt beschouwd als een functie en PdM moet ingrijpen om de planning in te stellen. Het wordt aanbevolen dat het accountteam contact opneemt met het productteam voor verdere plannen.
Additional Information
HDFS-referentie en TDE whitepaper handleidingen:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
PowerScale OneFS HDFS-naslaggids
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.