Configurazione di Hue per utenti LDAP - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Hue per utenti LDAP

L'integrazione con LDAP consente agli utenti di accedere a Hue utilizzando le credenziali esistenti archiviate in una directory LDAP. Quando si integra Hue con LDAP, non è necessario gestire in modo indipendente le informazioni utente in Hue. Le informazioni riportate di seguito dimostrano l'integrazione Hue con Microsoft Active Directory, ma le opzioni di configurazione sono analoghe a quelle di qualsiasi directory LDAP.

L'autenticazione LDAP esegue innanzitutto l'associazione al server e stabilisce la connessione. Quindi, la connessione stabilita viene utilizzata per qualsiasi query successiva per cercare le informazioni utente LDAP. A meno che il server Active Directory non consenta connessioni anonime, una connessione deve essere stabilita utilizzando nome e password distinti dell'associazione. Il nome distinto dell'associazione (o DN) è definito dall'impostazione di configurazione bind_dn. La password dell'associazione è definita dall'impostazione di configurazione bind_password. In Hue sono disponibili due modi per associare richieste LDAP: associazione di ricerca e associazione diretta. Il metodo preferito per utilizzare Hue con Amazon EMR è l'associazione di ricerca.

Quando si utilizza l'associazione di ricerca con Active Directory, Hue utilizza l'attributo nome utente (definito da user_name_attr config) per trovare l'attributo che deve essere recuperato dal nome distinto di base (o DN). L'associazione di ricerca è utile quando il DN completo per l'utente Hue non è noto.

Ad esempio, puoi impostare user_name_attr config per utilizzare il nome comune (o CN). In questo caso, il server Active Directory utilizza il nome utente Hue fornito durante l'accesso per cercare nella struttura di directory un nome comune corrispondente, partendo dal nome distinto di base. Se il nome comune per l'utente Hue viene trovato, il nome distinto dell'utente viene restituito dal server. Hue costruisce quindi un nome distinto utilizzato per autenticare l'utente eseguendo un'operazione di associazione.

Nota

L'associazione di ricerca consente di cercare i nomi utente in tutte le sottostrutture di directory partendo dal nome distinto di base. Il nome distinto di base specificato nella configurazione LDAP Hue deve essere il parente più prossimo del nome utente. In caso contrario, le prestazioni dell'autenticazione LDAP potrebbero peggiorare.

Quando si utilizza l'associazione diretta con Active Directory, utilizzare nt_domain o ldap_username_pattern esatti per eseguire l'autenticazione. Quando si utilizza l'associazione diretta, se è definito l'attributo di dominio nt (definito dall'impostazione di configurazione nt_domain), viene creato un modello di nome distinto dell'utente utilizzando il modulo: <login username>@nt_domain. Questo modello viene utilizzato per eseguire la ricerca in tutte le sottostrutture di directory partendo dal nome distinto di base. Se il dominio nt non è configurato, Hue esegue la ricerca di un modello di nome distinto esatto per l'utente (definito dall'impostazione di configurazione ldap_username_pattern). In questo caso, il server cerca un valore ldap_username_pattern corrispondente in tutte le sottostrutture di directory partendo dal nome distinto di base.

Avvio di un cluster con proprietà LDAP per Hue utilizzando la AWS CLI
  • Per specificare le proprietà LDAP per hue-ini, creare un cluster con Hue installato e fare riferimento a un file json con proprietà di configurazione per LDAP. Di seguito è mostrato un comando esempio che fa riferimento a un file di configurazione myConfig.json archiviato in Amazon S3.

    aws emr create-cluster --release-label emr-7.1.0 --applications Name=Hue Name=Spark Name=Hive \ --instance-type m5.xlarge --instance-count 3 --configurations https://s3.amazonaws.com/mybucket/myfolder/myConfig.json.

    Contenuti di esempio di myConfig.json sono mostrati di seguito.

    [ { "Classification": "hue-ini", "Properties": {}, "Configurations": [ { "Classification": "desktop", "Properties": {}, "Configurations": [ { "Classification": "ldap", "Properties": {}, "Configurations": [ { "Classification": "ldap_servers", "Properties": {}, "Configurations": [ { "Classification": "yourcompany", "Properties": { "base_dn": "DC=yourcompany,DC=hue,DC=com", "ldap_url": "ldap://ldapurl", "search_bind_authentication": "true", "bind_dn": "CN=hue,CN=users,DC=yourcompany,DC=hue,DC=com", "bind_password": "password" }, "Configurations": [] } ] } ] }, { "Classification": "auth", "Properties": { "backend": "desktop.auth.backend.LdapBackend" } } ] } ] } ]
Nota

Con Amazon EMR versione 5.21.0 e successive, puoi sovrascrivere le configurazioni del cluster e specificare classificazioni di configurazione aggiuntive per ogni gruppo di istanze in un cluster in esecuzione. A tale scopo, puoi utilizzare la console Amazon EMR, AWS Command Line Interface (AWS CLI) o l' AWS SDK. Per ulteriori informazioni, consulta Specifica di una configurazione per un gruppo di istanze in un cluster in esecuzione.

Visualizzazione delle impostazioni LDAP in Hue
  1. Accertarsi di disporre di una connessione VPN o di un tunnel SSH attivo al nodo master del cluster Amazon EMR. Quindi, nel tuo browser, digita:8888 master-public-dnsper aprire l'interfaccia web di Hue.

  2. Accedere usando le credenziali di amministratore Hue. Se si apre la finestra Did you know? (Lo sapevi?), fare clic su Got it, prof! (Ricevuto, prof!) per chiuderla.

  3. Fare clic sull'icona Hue nella barra degli strumenti.

  4. Nella pagina Informazioni su Hue, fare clic su Configurazione.

  5. Nella sezione Configuration Sections and Variables (Sezioni e variabili di configurazione), fare clic su Desktop.

  6. Scorrere fino alla sezione Idap per visualizzare le impostazioni.