CDH集成LDAP配置

转载自JavaChen Blog,作者:JavaChen

原文链接地址:http://blog.javachen.com/2014/11/12/config-ldap-with-kerberos-in-cdh-hadoop.html

参考上面基本配置,添加了部分配置

本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。CDH集群已经开启Kerberos认证。

一、环境说明

软件版本

  • 操作系统:CentOs 6.8
  • CDH版本:Hadoop 2.6.0-cdh5.9.0
  • JDK版本:jdk1.7.0_67-cloudera
  • OpenLDAP 版本:openldap-2.4.40-16.el6.x86_64
  • Kerberos 版本:1.10.3-65.el6
  • 运行用户:root

集群主机角色划分

  • sunmvm20 作为master节点,安装 openldap服务端
  • [sunmvm26-sunmvm28]作为slave节点,安装 openldap 客户端

二、安装服务端

1.安装

同安装 kerberos 一样,这里使用 sunmvm20 作为服务端安装 openldap。

$ yum install db4 db4-utils db4-devel cyrus-sasl* krb5-server-ldap -y
$ yum install openldap openldap-servers openldap-clients openldap-devel compat-openldap -y

查看安装的版本:

$ rpm -qa openldap
openldap-2.4.40-16.el6.x86_64

$ yum list all | grep krb5-server-ldap
krb5-server-ldap.i686              1.10.3-65.el6               base
krb5-server-ldap.x86_64            1.10.3-65.el6               base

2.LDAP 服务端配置

更新配置库:

rm -rf /var/lib/ldap/*
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap

在2.4以前的版本中,OpenLDAP 使用 slapd.conf 配置文件来进行服务器的配置,而2.4开始则使用 slapd.d 目录保存细分后的各种配置,这一点需要注意,其数据存储位置即目录 /etc/openldap/slapd.d 。尽管该系统的数据文件是透明格式的,还是建议使用 ldapadd, ldapdelete, ldapmodify 等命令来修改而不是直接编辑。

# 默认配置文件保存在 /etc/openldap/slapd.d,将其备份:
cp -rf /etc/openldap/slapd.d /etc/openldap/slapd.d.bak

# 添加一些基本配置,并引入 kerberos 和 openldap 的 schema:
$ cp /usr/share/doc/krb5-server-ldap-1.10.3/kerberos.schema /etc/openldap/schema/

$ vi /etc/openldap/slapd.conf
# 插入下面内容
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/collective.schema
include /etc/openldap/schema/kerberos.schema

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

# 更新slapd.d
$ slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

$ chown -R ldap:ldap /etc/openldap/slapd.d && chmod -R 700 /etc/openldap/slapd.d

3.启动服务

启动 LDAP 服务:

chkconfig --add slapd
chkconfig --level 345 slapd on

/etc/init.d/slapd start

查看状态,验证服务端口:

$ ps aux | grep slapd | grep -v grep
  ldap      9225  0.0  0.2 581188 44576 ?        Ssl  15:13   0:00 /usr/sbin/slapd -h ldap:/// -u ldap

$ netstat -tunlp  | grep :389
  tcp        0      0 0.0.0.0:389                 0.0.0.0:*                   LISTEN      8510/slapd
  tcp        0      0 :::389                      :::*                        LISTEN      8510/slapd

# 如果启动失败,则运行下面命令来启动 slapd 服务并查看日志:
$ slapd -h ldap://127.0.0.1 -d 481

待查明原因之后,停止该进程使用正常方式启动 slapd 服务。

4.LDAP 和 Kerberos

在Kerberos安全机制里,一个principal就是realm里的一个对象,一个principal总是和一个密钥(secret key)成对出现的。

这个principal的对应物可以是service,可以是host,也可以是user,对于Kerberos来说,都没有区别。

Kdc(Key distribute center)知道所有principal的secret key,但每个principal对应的对象只知道自己的那个secret key。这也是 "共享密钥" 的由来。

为了使 Kerberos 能够绑定到 OpenLDAP 服务器,请创建一个管理员用户和一个 principal,并生成 keytab 文件,设置该文件的权限为 LDAP 服务运行用户可读( LDAP 服务运行用户一般为 ldap):

$ kadmin.local -q "addprinc ldapadmin@0HKJ.COM"
$ kadmin.local -q "addprinc -randkey ldap/sunmvm20@0HKJ.COM"
$ kadmin.local -q "ktadd -k /etc/openldap/ldap.keytab ldap/sunmvm20@0HKJ.COM"
# ktadd 后面的-k 指定把 key 存放在一个本地文件中。

$ chown ldap:ldap /etc/openldap/ldap.keytab && chmod 640 /etc/openldap/ldap.keytab

使用 ldapadmin 用户测试:

kinit ldapadmin

系统会提示输入密码,如果一切正常,那么会安静的返回。实际上,你已经通过了kerberos的身份验证,且获得了一个Service TGT(Ticket-Granting Ticket). Service TGT的意义是, 在一段时间内,你都可以用此TGT去请求某些service,比如ldap service,而不需要再次通过kerberos的认证。

确保 LDAP 启动时使用上一步中创建的keytab文件,在 /etc/sysconfig/ldap 增加 KRB5_KTNAME 配置:

export KRB5_KTNAME=/etc/openldap/ldap.keytab

然后,重启 slapd 服务。

5.创建数据库

进入到 /etc/openldap/slapd.d 目录,查看 etc/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif 可以看到一些默认的配置,例如:

olcRootDN: cn=Manager,dc=my-domain,dc=com  
olcRootPW: secret  
olcSuffix: dc=my-domain,dc=com

接下来更新这三个配置,建立 modify.ldif 文件,内容如下:

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=0hkj,dc=com

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcRootDN
# Temporary lines to allow initial setup
olcRootDN: uid=ldapadmin,ou=people,dc=0hkj,dc=com

dn: olcDatabase={2}bdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: secret

dn: cn=config
changetype: modify
add: olcAuthzRegexp
olcAuthzRegexp: uid=([^,]*),cn=GSSAPI,cn=auth uid=$1,ou=people,dc=0hkj,dc=com

dn: olcDatabase={2}bdb,cn=config
changetype: modify
add: olcAccess
# Everyone can read everything
olcAccess: {0}to dn.base="" by * read
# The ldapadm dn has full write access
olcAccess: {1}to * by dn="uid=ldapadmin,ou=people,dc=0hkj,dc=com" write by * read

说明:

  • 上面的密码使用的是明文密码 secret ,你也可以使用 slappasswd -s secret 生成的字符串作为密码。
  • 上面的权限中指明了只有用户 uid=ldapadmin,ou=people,dc=0hkj,dc=com 有写权限。
    使用下面命令导入更新配置:
$ ldapmodify -Y EXTERNAL -H ldapi:/// -f modify.ldif

这时候数据库没有数据,需要添加数据,你可以手动编写 ldif 文件来导入一些用户和组,或者使用 migrationtools 工具来生成 ldif 模板。创建 setup.ldif 文件如下:

dn: dc=0hkj,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: javachen com
dc: javachen

dn: ou=people,dc=0hkj,dc=com
objectclass: organizationalUnit
ou: people
description: Users

dn: ou=group,dc=0hkj,dc=com
objectClass: organizationalUnit
ou: group

dn: uid=ldapadmin,ou=people,dc=0hkj,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: LDAP admin account
uid: ldapadmin
sn: ldapadmin
uidNumber: 1001
gidNumber: 100
homeDirectory: /home/ldap
loginShell: /bin/bash

# 使用下面命令导入数据,密码是前面设置的 secret 。
$ ldapadd -x -D "uid=ldapadmin,ou=people,dc=0hkj,dc=com" -w secret -f setup.ldif

参数说明:

  • -w 指定密码
  • -x 是使用一个匿名的绑定

6.LDAP 的使用

接下来你可以从 /etc/passwd, /etc/shadow, /etc/groups 中生成 ldif 更新 ldap 数据库,这需要用到 migrationtools 工具。

  • 配置 migrationtools 工具
# 安装:
$ yum install migrationtools -y

# 利用迁移工具生成模板,先修改默认的配置:
$ vim /usr/share/migrationtools/migrate_common.ph

# line 71 defalut DNS domain
$DEFAULT_MAIL_DOMAIN = "0hkj.com";

# line 74 defalut base
$DEFAULT_BASE = "dc=0hkj,dc=com";

# 生成模板文件:
/usr/share/migrationtools/migrate_base.pl > /opt/base.ldif

# 然后,可以修改该文件,然后执行导入命令:
$ ldapadd -x -D "uid=ldapadmin,ou=people,dc=0hkj,dc=com" -w secret -f /opt/base.ldif
  • 添加
# 先添加用户
$ useradd test hive
# 查找系统上的 test、hive 等用户
$ grep -E "test|hive" /etc/passwd  >/opt/passwd.txt
$ /usr/share/migrationtools/migrate_passwd.pl /opt/passwd.txt /opt/passwd.ldif
$ ldapadd -x -D "uid=ldapadmin,ou=people,dc=0hkj,dc=com" -w secret -f /opt/passwd.ldif

# 将用户组导入到 ldap 中:

# 生成用户组的 ldif 文件,然后导入到 ldap
$ grep -E "test|hive" /etc/group  >/opt/group.txt
$ /usr/share/migrationtools/migrate_group.pl /opt/group.txt /opt/group.ldif
$ ldapadd -x -D "uid=ldapadmin,ou=people,dc=0hkj,dc=com" -w secret -f /opt/group.ldif
  • 查询
# 查询新添加的 test 用户:
$ ldapsearch -LLL -x -D 'uid=ldapadmin,ou=people,dc=0hkj,dc=com' -w secret -b 'dc=0hkj,dc=com' 'uid=test'
  dn: uid=test,ou=people,dc=0hkj,dc=com
  objectClass: inetOrgPerson
  objectClass: posixAccount
  objectClass: shadowAccount
  cn: test account
  sn: test
  uid: test
  uidNumber: 1001
  gidNumber: 100
  homeDirectory: /home/test
  loginShell: /bin/bash
  • 修改
# 用户添加好以后,需要给其设定初始密码,运行命令如下:
$ ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=0hkj,dc=com' -w secret "uid=test,ou=people,dc=0hkj,dc=com" -S
  • 删除
# 删除用户或组条目:
$ ldapdelete -x -w secret -D 'uid=ldapadmin,ou=people,dc=0hkj,dc=com' "uid=test,ou=people,dc=0hkj,dc=com"
$ ldapdelete -x -w secret -D 'uid=ldapadmin,ou=people,dc=0hkj,dc=com' "cn=test,ou=group,dc=0hkj,dc=com"

三、客户端配置

# 在 [sunmvm26 - sunmvm28]上,使用下面命令安装openldap客户端
$ yum install openldap-clients -y

# 修改 /etc/openldap/ldap.conf 以下两个配置

BASE    dc=javachen,dc=com
URI     ldap://cdh1

# 然后,运行下面命令测试:

# 先删除 ticket
$ kdestroy

$ ldapsearch -b 'dc=0hkj,dc=com'
  SASL/GSSAPI authentication started
  ldap_sasl_interactive_bind_s: Local error (-2)
    additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No credentials cache found)
重新获取 ticket:

$ kinit root/admin
$ ldapsearch -b 'dc=0hkj,dc=com'
# 没有报错了

$ ldapwhoami
  SASL/GSSAPI authentication started
  SASL username: root/admin@0HKJ.COM
  SASL SSF: 56
  SASL installing layers
  dn:uid=root/admin,ou=people,dc=0hkj,dc=com
  Result: Success (0)

# 直接输入 ldapsearch 不会报错
$ ldapsearch  
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容