Table des matières

Search

  1. Présentation de l'installation
  2. Avant l'installation Enterprise Data Catalog
  3. Installation d'Enterprise Data Catalog
  4. Après l'installation d'Enterprise Data Catalog
  5. Désinstallation
  6. Dépannage
  7. Démarrage et arrêt des services d'Enterprise Data Catalog
  8. Supprimer l'accès sudo après la création d'un cluster incorporé
  9. Configurer un répertoire journal personnalisé pour Ambari
  10. Configurer Enterprise Data Catalog pour un cluster avec WANdisco Fusion activé
  11. Configurer Informatica Custom Service Descriptor
  12. Créer des utilisateurs et des groupes d'utilisateurs personnalisés pour les services déployés dans un cluster incorporé
  13. Configurer des ports personnalisés pour les applications Hadoop

Guide d'installation et de configuration d'Enterprise Data Catalog

Guide d'installation et de configuration d'Enterprise Data Catalog

Configuration de Kerberos et de SSL pour un cluster existant

Configuration de Kerberos et de SSL pour un cluster existant

Vous pouvez installer Enterprise Data Catalog sur un cluster existant qui utilise l'authentification réseau Kerberos pour authentifier les utilisateurs et services sur un réseau. Enterprise Data Catalog prend également en charge l'authentification SSL pour une communication sécurisée dans le cluster.
Kerberos est un protocole d'authentification réseau qui utilise des tickets afin d'authentifier l'accès aux services et aux nœuds dans un réseau. Kerberos utilise un centre de distribution de clés (KDC) pour valider les identités des utilisateurs et des services et pour accorder des tickets aux comptes utilisateur et de service authentifiés. Dans le protocole Kerberos, les utilisateurs et les services sont appelés principaux. Le KDC dispose d'une base de données de principaux et de leurs clés secrètes associées, utilisées comme preuve de leur identité. Kerberos peut utiliser un service d'annuaire LDAP en tant que base de données de principaux.
Informatica ne prend pas en charge l'authentification Kerberos croisée ou multi-domaines. L'hôte du serveur, les machines du client et le serveur d'authentification Kerberos doivent se trouver dans le même domaine.
Le domaine Informatica requiert des fichiers keytab pour authentifier les nœuds et les services du domaine sans transmettre de mots de passe sur le réseau. Les fichiers keytab contiennent les noms de principaux de service (SPN) et les clés chiffrées associées. Créez les fichiers keytab avant de créer des nœuds et des services dans le domaine Informatica.

Prérequis pour l'authentification SSL

Vérifiez que le cluster existant répond aux prérequis suivants avant d'activer l'authentification SSL dans le cluster :
  • Le domaine Informatica est configuré en mode SSL.
  • Les points de terminaison de cluster et de YARN REST sont activés pour Kerberos.
  • Créez un fichier keystore pour l'application Apache Solr sur tous les nœuds du cluster. Importez les certificats publics des fichiers keystore Apache Solr sur tous les hôtes dans tous les fichiers truststore configurés pour HDFS et YARN. Cette étape est nécessaire pour que les tâches d'Apache Spark et de l'analyseur se connectent à l'application Apache Solr.
  • Importez les certificats publics des applications Apache Solr et YARN dans le fichier truststore du domaine Informatica. Cette étape est nécessaire pour que le service de catalogue se connecte aux applications YARN et Solr.
  • Importez les certificats publics du domaine Informatica et le service de catalogue dans le truststore YARN.
  • Importez le certificat public du service de catalogue dans le truststore du domaine Informatica.
  • Si vous prévoyez de déployer Enterprise Data Catalog sur un cluster Hortonworks version 2.5 existant qui ne prend pas en charge l'authentification SSL, procédez comme suit :
    1. Configurez les propriétés suivantes dans le fichier /etc/hadoop/conf/ssl-client.xml : ssl.client.truststore.location et ssl.client.truststore.password.
    2. Veillez à ce que la valeur ssl.client.truststore.location soit définie sur le répertoire /opt et pas sur le répertoire /etc. Veillez à configurer le chemin d'accès complet au fichier truststore pour la propriété ssl.client.truststore.location. Par exemple, vous pouvez définir la valeur semblable à /opt/truststore/infa_truststore.jks.
    3. Exportez le certificat keystore utilisé dans le domaine Informatica.
    4. Importez le certificat keystore dans le fichier truststore du domaine Informatica.
    5. Placez le fichier truststore de domaine dans tous les nœuds Hadoop du répertoire /opt . Par exemple, /opt/truststore/infa_truststore.jks.
    6. Ouvrez le fichier /etc/hadoop/conf/ssl-client.xml.
    7. Modifiez les propriétés ssl.client.truststore.location et ssl.client.truststore.password .

Prérequis de l'authentification Kerberos

Procédez comme suit avant d'activer l'authentification Kerberos pour le cluster existant :
  • Créez les utilisateurs suivants dans le domaine de sécurité LDAP où <user name> est le nom du cluster de services.
    • <user name>@KERBEROSDOMAIN.COM
    • <user name>/<hostname>@KERBEROSDOMAIN.COM
      Créez l'ID d'utilisateur de tous les hôtes du cluster.
    • HTTP/<host name>@KERBEROSDOMAIN.COM
      Créez l'ID d'utilisateur de tous les hôtes du cluster.
    • Créez un fichier keytab avec des informations d'identification pour tous ces utilisateurs créés dans LDAP. Vous pouvez créer des fichiers keytab pour chacun des utilisateurs du serveur KDC et les fusionner à l'aide de la commande ktutil pour créer un fichier keytab unique.
    • Créez les dossiers suivants dans HDFS qu'Enterprise Data Catalog utilise comme répertoires de données pour le service de catalogue : /Informatica/LDM/<user name> et /user/<user name>.
    • Remplacez le propriétaire de ces deux dossiers par <user name>.
    • Créez un utilisateur local avec nom d'utilisateur <user name> sur tous les hôtes du cluster. Cette étape est nécessaire pour lancer l'application dans YARN en tant qu'utilisateur configuré pour le service de catalogue.
  • Configurez le paramètre udp_preference_limit dans le fichier de configuration Kerberos krb5.conf sur 1. Ce paramètre détermine le protocole qu'utilise Kerberos lors de l'envoi d'un message au KDC. Définissez udp_preference_limit = 1 pour toujours utiliser TCP. Le domaine Informatica prend uniquement en charge le protocole TCP. Si le paramètre udp_preference_limit est défini sur une autre valeur, il est possible que le domaine Informatica s'arrête inopinément.


Mis à jour May 17, 2019


Explore Informatica Network