為LDAP使用者設定 Hue

與 的整合LDAP可讓使用者使用存放在 LDAP目錄中的現有登入資料登入 Hue。當您將 Hue 與 整合時LDAP，您不需要在 Hue 中獨立管理使用者資訊。以下資訊示範 Hue 與 Microsoft Active Directory 的整合，但組態選項類似於任何LDAP目錄。

LDAP 身分驗證會先繫結至伺服器並建立連線。然後，建立的連線會用於任何後續查詢，以搜尋LDAP使用者資訊。除非您的 Active Directory 伺服器允許匿名連線，否則必須使用繫結可辨別名稱和密碼來建立連線。繫結可辨別名稱 (或 DN) 是由 bind_dn 組態設定所定義。繫結密碼是由 bind_password 組態設定所定義。Hue 有兩種繫結LDAP請求的方式：搜尋繫結和直接繫結。搭配 Amazon 使用 Hue 的偏好方法是EMR搜尋繫結。

使用搜尋繫結搭配 Active Directory 時，Hue 會利用使用者名稱屬性 (由 user_name_attr config 定義) 尋找需從基本辨別名稱 (或 DN) 擷取的屬性。當 Hue 使用者不知道完整 DN 時，搜尋繫結會很實用。

例如，您可能已將 user_name_attr config 設定為使用通用名稱 (或 CN)。在這種情況下，Active Directory 伺服器會使用登入時提供的 Hue 使用者名稱，從基本辨別名稱開始搜尋樹狀目錄中相符的通用名稱。如果找到 Hue 使用者的通用名稱，伺服器就會傳回該使用者的辨別名稱。然後 Hue 會執行繫結操作，藉此建構用來驗證使用者的辨別名稱。

注意

搜尋繫結會在所有子樹狀目錄中搜尋使用者名稱，從基本辨別名稱開始。Hue LDAP組態中指定的基本辨別名稱應該是最接近使用者名稱的父項，否則您的LDAP身分驗證效能可能會受到影響。

當直接繫結與 Active Directory 搭配使用時，必須使用確切的 nt_domain 或 ldap_username_pattern 進行驗證。使用直接繫結時，如果定義了 nt 網域 (由 nt_domain 組態設定所定義) 屬性，就會建立採用下列形式的使用者辨別名稱範本：<login username>@nt_domain。此範本會用來搜尋所有子樹狀目錄，從基本辨別名稱開始。如果未設定 nt 網域，Hue 會搜尋使用者的確切辨別名稱模式 (由 ldap_username_pattern 組態設定所定義)。在此範例中，伺服器會在所有子樹狀目錄中搜尋相符的 ldap_username_pattern 值，從基本辨別名稱開始。

使用 啟動具有 Hue LDAP 屬性的叢集 AWS CLI

• 若要指定 的LDAP屬性hue-ini，請建立已安裝 Hue 的叢集，並參考具有 組態屬性的 json 檔案LDAP。範例命令如下所示，其參考儲存在 Amazon S3 中的組態檔案 myConfig.json。

  aws emr create-cluster --release-label emr-7.5.0 --applications Name=Hue Name=Spark Name=Hive \
  --instance-type m5.xlarge --instance-count 3 --configurations https://s3.amazonaws.com/amzn-s3-demo-bucket/myfolder/myConfig.json.

  myConfig.json 的範例內容如下所示。

  [
      {
          "Classification": "hue-ini",
          "Properties": {},
          "Configurations": [
              {
                  "Classification": "desktop",
                  "Properties": {},
                  "Configurations": [
                      {
                          "Classification": "ldap",
                          "Properties": {},
                          "Configurations": [
                              {
                                  "Classification": "ldap_servers",
                                  "Properties": {},
                                  "Configurations": [
                                      {
                                          "Classification": "yourcompany",
                                          "Properties": {
                                              "base_dn": "DC=yourcompany,DC=hue,DC=com",
                                              "ldap_url": "ldap://ldapurl",
                                              "search_bind_authentication": "true",
                                              "bind_dn": "CN=hue,CN=users,DC=yourcompany,DC=hue,DC=com",
                                              "bind_password": "password"
                                          },
                                          "Configurations": []
                                      }
                                  ]
                              }
                          ]
                      },
                      {
                          "Classification": "auth",
                          "Properties": {
                           "backend": "desktop.auth.backend.LdapBackend"
                                }
                      }
                  ]
              }
              
          ]
      }
  ]
  

注意

使用 Amazon 5.21.0 版及更新EMR版本，您可以覆寫叢集組態，並為執行中叢集中的每個執行個體群組指定其他組態分類。您可以使用 Amazon EMR主控台、 AWS Command Line Interface (AWS CLI) 或 來執行此操作 AWS SDK。如需詳細資訊，請參閱為執行中叢集的執行個體群組提供組態。

在 Hue 中檢視LDAP設定

1. 確認您有與 Amazon EMR叢集主節點的作用中VPN連線或SSH通道。然後，在瀏覽器中輸入 master-public-dns：8888 以開啟 Hue Web 介面。

2. 使用 Hue 管理員登入資料登入。如果 Did you know? (您知道嗎？) 視窗開啟，請按一下 Got it, prof! (教授，我懂了！) 來關閉該視窗。

3. 按一下工具列中的 Hue (Hue) 圖示。

4. 在關於 Hue 頁面上，選取組態。

5. 在 Configuration Sections and Variables (組態區段與變數) 區段中，按一下 Desktop (桌面)。

6. 捲動至 ldap (ldap) 區段，以檢視您的設定。