管理LDAP認(rèn)證
開啟LDAP認(rèn)證功能后,訪問(wèn)服務(wù)需要您提供LDAP用戶名和密碼進(jìn)行身份認(rèn)證,從而提高了服務(wù)的安全性。EMR提供了一鍵開啟LDAP認(rèn)證的功能,避免了復(fù)雜的配置過(guò)程,方便您使用LDAP認(rèn)證。本文為您介紹如何開啟Presto服務(wù)的LDAP認(rèn)證并連接Presto。
前提條件
已創(chuàng)建選擇了Presto和OpenLDAP服務(wù)的集群,詳情請(qǐng)參見創(chuàng)建集群。
注意事項(xiàng)
該功能僅適用于普通集群,高安全集群不支持開啟LDAP認(rèn)證。
操作步驟
添加EMR用戶。
在頂部菜單欄處,根據(jù)實(shí)際情況選擇地域和資源組。
單擊目標(biāo)集群操作列的節(jié)點(diǎn)管理。
單擊上方的用戶管理。
添加用戶,詳情請(qǐng)參見添加用戶。
開啟LDAP認(rèn)證。
單擊上方的集群服務(wù)。
在集群服務(wù)頁(yè)面,單擊Presto服務(wù)區(qū)域的狀態(tài)。
在服務(wù)概述區(qū)域,打開PrestoLDAP開關(guān)。
在彈出的對(duì)話框中,單擊確定。
重啟PrestoMaster。
在組件列表區(qū)域,單擊PrestoMaster操作列的重啟。
在彈出的對(duì)話框中,輸入執(zhí)行原因,單擊確定。
在確認(rèn)對(duì)話框中,單擊確定。
連接Presto服務(wù)。
開啟LDAP認(rèn)證后,當(dāng)您訪問(wèn)Presto時(shí)需要提供LDAP認(rèn)證憑據(jù)。
通過(guò)SSH方式連接集群,請(qǐng)參見登錄集群。
執(zhí)行以下命令,訪問(wèn)Presto。
重要開啟LDAP后只能通過(guò)HTTPS協(xié)議訪問(wèn)Presto,HTTP端口8889會(huì)被關(guān)閉,UI將無(wú)法以原先方式訪問(wèn),設(shè)置的http-server.http.port也會(huì)被http-server.https.port覆蓋,HTTPS端口值為7779。
presto --server https://{fqdn}:7779 --keystore-path {keystore_location} \ --keystore-password {keystore_passwd} --catalog hive --user {user} --password參數(shù)
說(shuō)明
{fqdn}
master-1-1節(jié)點(diǎn)的FQDN,可通過(guò)
hostname -f命令獲取,格式為master-1-1.c-xxxxxxx.cn-xxxxxx.emr.aliyuncs.com。{keystore_location}
keystore的路徑。
config.properties中
http-server.https.keystore.path的值,固定為/etc/emr/presto-conf/keystore。{keystore_passwd}
keystore的密碼。
config.properties中
http-server.https.keystore.key的值,需自行獲取,可以在master-1-1節(jié)點(diǎn)上執(zhí)行命令awk -F= '/http-server.https.keystore.key/{print $2}' ${PRESTO_CONF_DIR}/config.properties查看。{user}
為L(zhǎng)DAP的用戶名,即您在步驟1中添加的用戶名。
執(zhí)行上述命令后,根據(jù)提示信息輸入密碼,密碼為L(zhǎng)DAP的密碼,即您在步驟1添加用戶時(shí)設(shè)置的密碼。
可選:關(guān)閉LDAP認(rèn)證。
在Presto服務(wù)的服務(wù)概述區(qū)域,關(guān)閉PrestoLDAP開關(guān)。
在彈出的對(duì)話框中,單擊確定。
重啟PrestoMaster。
在組件列表區(qū)域,單擊PrestoMaster操作列的重啟。
在彈出的對(duì)話框中,輸入執(zhí)行原因,單擊確定。
在確認(rèn)對(duì)話框中,單擊確定。