Isilon: RangerKMS ve Active Directory Kerberos ile Hadoop şifreleme bölgesi oluşturulamıyor
Summary: Hadoop şifreleme bölgesi oluşturmaya çalışırken oluşturma başarısız oluyor ve kullanıcı adı, HDFS kullanıcısı yerine küme adı olarak kullanılıyor.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
OneFS 8.2, Ambari 2.7.3 ve HDP 3.1.4.0-315 ile bir Hadoop şifreleme bölgesi oluşturmaya çalışırken anahtarı alamadığımız için bölge oluşturma işlemi başarısız oluyor.
HDP kümesi Active Directory ile yüklendi ve Kerberize edildi, Ranger, Ranger KMS ile dağıtıldı. Anahtarlar KMS
[hdpuser1@centos-05 ~]$ Hadoop Key List -provider kms:// http@centos-05.foo.com:9292/kms
KeyProvider için anahtarları listeleme: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb
Şifreleme bölgesini oluştururken aşağıdaki hatayı görüyoruz:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Create Encryption Zone call failed: GetKeyMetaData: KMS return HTTP status: 403; Uzak özel durum mesajı: Kullanıcı:ISILONS-2G88EXB$ 'keya' üzerinde 'GET_METADATA' yapmasına izin verilmiyor; İstek: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs GET_METADATA
erişimi olmayan başvurulan kullanıcı hesabı, AD makinesi nesne hesabıdır: ISILONS-2G88EXB$ , değil hdfs hizmet hesabı bu AD nesnesini Ranger KMS içine kullanıcı hesabı ayrıcalığı olarak ekleyemiyor, $ eklemeyi engelliyor.
hdfs hesabı, gerekli Get_Metadata ayrıcalığıyla KMS'ye eklenir, (ekran görüntüsüne bakın)
pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
User
Name: FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
On Disk: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: zone3
Privileges: -
Birincil Grup
Adı: FOOdomain computers < -- computer object
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
On Disk: S-1-5-21-856609431-2249676204-1531082451-515
Supplemental Identities
Name: Authenticated Users
SID: S-1-5-11
Yukarıdaki davranışa bağlı olarak, Ranger KMS ve AD ile TDE şu anda desteklenmemektedir.
Cause
Mühendislik uyarınca, AD Kerberos + RangerKMS senaryosu şu anda resmi olarak desteklenmemektedir ve mevcut teknik rapor değiştirilmeyecektir.
Resolution
RFE (Geliştirme Talebi) şu anda bir seçenektir.
Bir özellik olarak kabul edileceğinden, PdM'nin Zamanlamayı ayarlamak için müdahale etmesi gerekir, Hesap Ekibinin daha sonraki plan için Ürün Ekibiyle iletişime geçmesi önerilir.
Bir özellik olarak kabul edileceğinden, PdM'nin Zamanlamayı ayarlamak için müdahale etmesi gerekir, Hesap Ekibinin daha sonraki plan için Ürün Ekibiyle iletişime geçmesi önerilir.
Additional Information
HDFS referansı ve TDE teknik inceleme kılavuzları:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
PowerScale OneFS HDFS Referans Rehberi
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.