全部产品
Search

搜索本产品

    E-MapReduce:Kelola otentikasi LDAP

    文档中心

    E-MapReduce:Kelola otentikasi LDAP

    更新时间:Jul 02, 2025

    Setelah otentikasi LDAP diaktifkan untuk suatu layanan, Anda harus memasukkan nama pengguna dan kata sandi LDAP saat mengakses layanan tersebut. Hal ini meningkatkan keamanan layanan. Anda dapat mengaktifkan otentikasi LDAP melalui konsol EMR dengan langkah-langkah sederhana, sehingga terhindar dari konfigurasi manual yang kompleks.

    Prasyarat

    Kluster E-MapReduce (EMR) telah dibuat dengan layanan Trino dan OpenLDAP dipilih saat pembuatan kluster. Untuk informasi lebih lanjut, lihat Buat Kluster.

    Peringatan

    • Jika Anda tidak dapat terhubung ke kluster EMR V3.43.1 atau EMR V5.9.1 dengan otentikasi LDAP aktif, parameter yang diperlukan belum dikonfigurasikan untuk node pekerja dalam kluster. Untuk menyelesaikan masalah ini, akses node master-1-1 dalam kluster dan temukan parameter internal-communication.shared-secret beserta nilainya dari file konfigurasi Presto config.properties. Tambahkan parameter dan nilainya sebagai item konfigurasi untuk node pekerja dalam grup node inti dan tugas kluster di konsol EMR. Untuk panduan menambahkan item konfigurasi, lihat Tambahkan Item Konfigurasi.

    • Otentikasi LDAP tidak kompatibel dengan otentikasi Kerberos di Trino. Oleh karena itu, Anda hanya dapat mengaktifkan salah satu dari keduanya untuk kluster EMR tempat layanan Trino diimplementasikan.

    Prosedur

    1. Tambahkan pengguna EMR. Untuk informasi lebih lanjut, lihat Tambahkan Pengguna.

    2. Buka tab Layanan.

      1. Masuk ke konsol EMR.

      2. Di panel navigasi sebelah kiri, klik EMR on ECS.

      3. Di bilah navigasi atas, pilih wilayah tempat kluster berada serta pilih grup sumber daya sesuai kebutuhan bisnis Anda.

      4. Di halaman EMR on ECS, temukan kluster yang diinginkan dan klik Services di kolom Tindakan.

    3. Aktifkan otentikasi LDAP.

      1. Di tab Services, temukan layanan Trino dan klik Status.

      2. Aktifkan otentikasi LDAP.

        • Untuk kluster EMR V5.11.1 atau versi minor terbaru atau EMR V3.45.1 atau versi minor terbaru:

          1. Di bagian Service Overview pada tab Status, aktifkan TrinoLDAP.

          2. Di pesan yang muncul, klik OK.

        • Untuk kluster EMR V5.11.0 atau versi minor sebelumnya atau EMR V3.45.0 atau versi minor sebelumnya:

          Penting

          Jika kluster EMR Anda adalah versi lama tanpa saklar untuk mengaktifkan otentikasi LDAP, Anda perlu secara manual mengonfigurasi pengaturan menggunakan dokumentasi Spark open source dari komunitas.

          1. Di bagian Components, cari komponen TrinoMaster. Arahkan penunjuk ke ikon more pada kolom Tindakan, lalu klik enableLDAP.

          2. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.

          3. Di pesan Confirm, klik OK.

      3. Mulai ulang TrinoMaster.

        1. Di bagian Components, temukan komponen TrinoMaster dan klik Restart di kolom Tindakan.

        2. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.

        3. Di pesan Confirm, klik OK.

    4. Hubungkan ke layanan Trino.

      Setelah otentikasi LDAP diaktifkan, Anda harus memasukkan kredensial otentikasi LDAP saat mengakses layanan Trino di kluster.

      1. Masuk ke kluster dalam mode SSH. Untuk informasi lebih lanjut, lihat Masuk ke Kluster.

      2. Jalankan perintah berikut untuk mengakses Trino.

        Penting

        Setelah keamanan tinggi diaktifkan, Trino hanya dapat diakses melalui HTTPS. Port 9090 dinonaktifkan dan item konfigurasi http-server.http.port menjadi tidak valid. Dalam hal ini, gunakan port 7778 untuk mengakses Trino.

        trino --server https://{fqdn}:7778 --keystore-path {keystore_location} \
--keystore-password {keystore_passwd} --catalog hive --user {user} --password

        Parameter

        Deskripsi

        {fqdn}

        Nama domain keystore.

        Untuk mendapatkan nama domain keystore, pergi ke tab Configure halaman layanan Trino dan temukan parameter ldap.url. Konten dalam format master-1-1.c-xxxxxxx.cn-x******.emr.aliyuncs.com dalam nilai parameter adalah nama domain keystore.

        {keystore_location}

        Path yang digunakan untuk menyimpan file keystore.

        Path ini adalah nilai dari parameter http-server.https.keystore.path pada subtab config.properties tab Konfigurasi. Nilainya tetap sebagai /etc/emr/trino-conf/keystore.

        {keystore_passwd}

        Kata sandi yang digunakan untuk mengakses file keystore.

        Kata sandi ini adalah nilai dari parameter http-server.https.keystore.key pada subtab config.properties tab Konfigurasi. Anda harus secara manual mendapatkan nilainya. Anda dapat menjalankan perintah awk -F= '/http-server.https.keystore.key/{print $2}' ${TRINO_CONF_DIR}/config.properties di node master-1-1 untuk melihat nilainya.

        {user}

        Nama pengguna LDAP yang Anda tentukan di Langkah 1.

        Setelah menjalankan perintah di atas, masukkan kata sandi pengguna LDAP yang ditentukan di Langkah 1.

    5. Opsional. Nonaktifkan otentikasi LDAP.

      1. Di tab Services, temukan layanan Trino dan klik Status.

      2. Nonaktifkan otentikasi LDAP.

        • Untuk kluster EMR V5.11.1 atau versi minor terbaru atau EMR V3.45.1 atau versi minor terbaru:

          1. Di bagian Service Overview pada tab Status, matikan TrinoLDAP.

          2. Di pesan yang muncul, klik OK.

        • Untuk kluster EMR V5.11.0 atau versi minor sebelumnya atau EMR V3.45.0 atau versi minor sebelumnya:

          1. Di bagian Components, cari komponen TrinoMaster. Arahkan penunjuk ke ikon more di kolom Tindakan, lalu klik disableLDAP.

          2. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.

          3. Di pesan Confirm, klik OK.

      3. Mulai ulang TrinoMaster.

        1. Di bagian Components, temukan komponen TrinoMaster dan klik Restart di kolom Tindakan.

        2. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.

        3. Di pesan Confirm, klik OK.