Isilon: Kan ikke opprette Hadoop-krypteringssone med RangerKMS og Active Directory Kerberos
Summary: Når du prøver å opprette en Hadoop-krypteringssone, mislykkes opprettingen, og brukernavnet brukes som klyngenavn i stedet for HDFS-bruker.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ved forsøk på å opprette en Hadoop-krypteringssone med OneFS 8.2, mislykkes oppretting av Ambari 2.7.3- og HDP 3.1.4.0-315-soner fordi vi ikke får tak i nøkkelen.
HDP-klynge installert og kerberisert med Active Directory, Ranger distribuert med Ranger KMS. Nøkler opprettes i KMS
[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Oppføringsnøkler for KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Når vi oppretter krypteringssonen, ser vi følgende feil:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Create Encryption Zone call failed: GetKeyMetaData: KMS-retur HTTP-status: 403; Ekstern unntaksmelding: Bruker:ISILONS-2G88EXB$ ikke tillatt å gjøre 'GET_METADATA' på 'keya'; Forespørsel: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Den refererte brukerkontoen uten tilgang til GET_METADATA er AD-maskinobjektkontoen: ISILONS-2G88EXB$, ikke hdfs-tjenestekontoen kan ikke legge til dette AD-objektet i Ranger KMS som et brukerkontoprivilegium, $ forhindrer tillegg.
hdfs-konto legges til i KMS med påkrevd Get_Metadata privilegium, (se skjermbilde)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Brukernavn:
FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
On Disk: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: zone3
Privileges: -
Navn på primærgruppe
: FOOdomain-datamaskiner < -- datamaskinobjekt
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
On Disk: S-1-5-21-856609431-2249676204-1531082451-515
Supplerende identiteter
Navn: SID: for godkjente brukere
: S-1-5-11
Basert på atferden ovenfor støttes ikke TDE med Ranger KMS og AD på dette tidspunktet.
Cause
I henhold til teknisk informasjon støttes ikke AD kerberos + RangerKMS-scenariet offisielt på dette tidspunktet, og den nåværende hvitboken vil ikke bli endret.
Resolution
RFE (Request for Enhancement) er alternativet for øyeblikket.
Fordi det vil bli betraktet som en funksjon, er PdM pålagt å gripe inn for å sette tidsplanen, det anbefales at kundeteamet kontakter produktteamet for videre plan.
Fordi det vil bli betraktet som en funksjon, er PdM pålagt å gripe inn for å sette tidsplanen, det anbefales at kundeteamet kontakter produktteamet for videre plan.
Additional Information
HDFS-referanse og TDE-hvitbokveiledninger:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
Referanseveiledning for PowerScale OneFS HDFS
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.