Isilon: Nie można utworzyć strefy szyfrowania Hadoop przy użyciu usługi RangerKMS i Kerberos Active Directory
Summary: Podczas próby utworzenia strefy szyfrowania Hadoop tworzenie kończy się niepowodzeniem, a nazwa użytkownika jest ustawiana jako nazwa klastra, a nie jako użytkownik HDFS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Podczas próby utworzenia strefy szyfrowania Hadoop przy użyciu OneFS 8.2, tworzenie strefy Ambari 2.7.3 i HDP 3.1.4.0-315 kończy się niepowodzeniem, ponieważ nie można uzyskać klucza.
Klaster HDP zainstalowany i przyswojony protokołem Kerberos z usługą Active Directory, platforma Ranger wdrożona za pomocą usługi Ranger KMS. Klucze są tworzone w KMS[
hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Wyświetlanie listy kluczy dla KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Podczas tworzenia strefy szyfrowania pojawia się następujący błąd:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Create Encryption Zone wywołanie nie powiodło się: GetKeyMetaData: Zwracany przez usługę KMS stan HTTP: 403; Zdalny komunikat o wyjątku: Użytkownik:ISILONS-2G88EXB$ nie może wykonać 'GET_METADATA' na 'keya'; Żądanie: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
Przywoływane konto użytkownika bez dostępu do GET_METADATA to konto obiektu komputera usługi AD: ISILONS-2G88EXB$ , a nie konto usługi hdfs nie może dodać tego obiektu usługi AD do usługi Ranger KMS jako uprawnienia konta użytkownika, $ uniemożliwia dodanie.
Konto hdfs jest dodawane w usłudze KMS z wymaganymi uprawnieniami do Get_Metadata, (patrz zrzut ekranu)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
Nazwa użytkownika:
Identyfikator UID FOOisilons-2g88exb$
:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
Na dysku: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Strefa: strefa 3
Uprawnienia: -
Nazwa grupy
podstawowej: Komputery < FOOdomain -- identyfikator GID obiektu
komputera:
1000003 identyfikator SID: S-1-5-21-856609431-2249676204-1531082451-515
Na dysku: S-1-5-21-856609431-2249676204-1531082451-515
Uzupełniające tożsamości
Nazwa: SID uwierzytelnionych użytkowników
: S-1-5-11
Na podstawie powyższego zachowania TDE z usługą Ranger KMS i AD nie jest obecnie obsługiwana.
Cause
Zgodnie z założeniami inżynieryjnymi scenariusz AD Kerberos + RangerKMS nie jest obecnie oficjalnie obsługiwany, a bieżący oficjalny dokument nie zostanie zmieniony.
Resolution
RFE (Request for Enhancement) jest opcją w tej chwili.
Ponieważ będzie to traktowane jako funkcja, PdM musi interweniować w celu ustalenia harmonogramu, zaleca się, aby zespół ds. kont skontaktował się z zespołem ds. produktu w celu ustalenia dalszego planu.
Ponieważ będzie to traktowane jako funkcja, PdM musi interweniować w celu ustalenia harmonogramu, zaleca się, aby zespół ds. kont skontaktował się z zespołem ds. produktu w celu ustalenia dalszego planu.
Additional Information
Przewodniki referencyjne HDFS i opracowania TDE:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
Podręcznik referencyjny PowerScale OneFS HDFS
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.