Cloudera CDH/CDP 및 Hadoop EcoSystem, Semantic IoT등의 개발/운영 기술을 정리합니다. gooper@gooper.com로 문의 주세요.
Cloudera CDH/CDP [AD(LADP)] CDP1.7에서 AD및 Kerberos를 연동해도 각 노드에 os account, os group은 생성되어야 하지만 SSSD서비스를 이용하면 직접 생성될 필요가 없다.
Cloudera Data Platform에서 보안 인증을 구성할 때, 주요 구성 요소는 다음과 같다.
- 인증 : MS AD 또는 Open-ldap, MS AD를 권장(디렉토리 서비스와 MIT Kerberos 기능을 동시에 제공하며, 기업 환경에서 운영하기 안정적임) 및 Kerberos
- 접근제어 : Ranger
- 데이터 거버넌스 : Atlas
CDP의 경우 사용자 계정으로 인증을 할 때, LDAP에 등록된 사용자 기반으로 Kerberos 인증을 수행하며, LDAP에 등록된 사용자 및 사용자 그룹은 물리적인 빅데이터 시스템의 OS 계정 및 그룹이 동기화되어야 한다.
대부분 Linux의 SSSD를 활용하여 LDAP에 사용자 및 사용자 그룹 정보와 CDP의 시스템 계정(hdfs, impala 등)을 동기화되도록 구성한다.
- 참고 내용 : docs.cloudera.com/cdp-private-cloud-base/7.1.5/security-kerberos-authentication/topics/cm-security-pam-ldap.html
일부 기업 환경에 Enterprise LDAP에 등록된 사용자의 계정이 numeric으로 구성되어 있는 경우,
OS가 linux 7이상인 경우, 다음의 원인으로 numeric username을 OS 사용자로 등록하지 못하는 제약사항이 존재한다.
access.redhat.com/solutions/3103631