Setelah autentikasi LDAP diaktifkan untuk suatu layanan, Anda harus memasukkan nama pengguna dan kata sandi LDAP saat mengakses layanan tersebut. Hal ini meningkatkan keamanan layanan. Anda dapat mengaktifkan autentikasi LDAP untuk suatu layanan di Konsol EMR melalui operasi sederhana, sehingga tidak perlu melakukan konfigurasi LDAP yang kompleks.
Prasyarat
Anda telah membuat kluster DataLake atau kustom serta memilih layanan Hive dan OpenLDAP. Untuk informasi selengkapnya, lihat Buat kluster.
Aktifkan autentikasi LDAP dengan satu klik
Tambahkan pengguna EMR. Untuk informasi selengkapnya, lihat Tambahkan pengguna.
Buka tab Layanan.
Masuk ke Konsol EMR.
Di panel navigasi sebelah kiri, klik EMR on ECS.
Di bilah navigasi atas, pilih wilayah tempat kluster Anda berada dan pilih kelompok sumber daya sesuai kebutuhan bisnis Anda.
Di halaman EMR on ECS, temukan kluster yang diinginkan lalu klik Services di kolom Tindakan.
Aktifkan autentikasi LDAP.
Di tab Services, klik Status di bagian Hive.
Nyalakan sakelar enableLDAP.
Untuk EMR V5.11.1 atau versi lebih baru dan EMR V3.45.1 atau versi lebih baru
Di bagian Service Overview, nyalakan sakelar enableLDAP.
Di kotak dialog, klik OK.
Untuk EMR V5.11.0 atau versi lebih lama dan EMR V3.45.0 atau versi lebih lama
Di bagian Components, temukan HiveServer, lalu di kolom Tindakan, pilih
> enableLDAP.Di kotak dialog yang muncul, masukkan alasan eksekusi di bidang Execution Reason, lalu klik OK.
Di kotak dialog Confirm, klik OK.
Mulai ulang HiveServer.
Di bagian Component List, klik Restart di kolom Tindakan untuk HiveServer.
Di kotak dialog yang muncul, masukkan alasan di bidang Execution Reason, lalu klik OK.
Di kotak dialog Confirm, klik OK.
Hubungkan ke HiveServer.
Setelah Anda mengaktifkan autentikasi LDAP, Anda harus menggunakan kredensial LDAP untuk terhubung ke HiveServer.
Masuk ke kluster Anda dalam mode SSH. Untuk informasi selengkapnya, lihat Masuk ke kluster.
Jalankan perintah berikut untuk terhubung ke HiveServer.
Klien Beeline:
beeline -u jdbc:hive2://master-1-1:10000 -n <user> -p <password>Konektivitas Basis Data Java (JDBC):
jdbc:hive2://master-1-1:10000/default;user=<user>;password=<password>
CatatanDalam perintah tersebut, <user> adalah nama pengguna LDAP dan <password> adalah kata sandi LDAP. Ini adalah kredensial untuk pengguna yang Anda tambahkan di Langkah 1.
Konfigurasi manual autentikasi LDAP
Konsol EMR menyediakan sakelar enableLDAP yang dapat Anda gunakan untuk mengaktifkan autentikasi LDAP. Namun, jika Anda menggunakan versi EMR yang lebih lama atau perlu terhubung ke layanan LDAP yang dikelola sendiri, Anda harus mengonfigurasi autentikasi LDAP secara manual untuk HiveServer2.
Di halaman Configuration layanan Hive, tambahkan item konfigurasi berikut ke tab hiveserver2-site.xml. Untuk informasi selengkapnya, lihat Kelola item konfigurasi.
Item konfigurasi | Nilai referensi | Deskripsi |
hive.server2.authentication | LDAP | Menentukan metode autentikasi untuk HiveServer2. |
hive.server2.authentication.ldap.url | ldap://{ldap_hostname}:{port} Contoh: ldap://master-1-1:10389 | Menentukan URL untuk terhubung ke layanan LDAP. Konfigurasikan URL ini sesuai kebutuhan.
|
hive.server2.authentication.ldap.baseDN | ou=people,o=emr | Nama distingtif dasar (DN) pengguna di layanan LDAP. Untuk layanan LDAP kluster EMR, gunakan |
Tentukan akses pengguna ke Hive
Jika autentikasi LDAP diaktifkan untuk layanan Hive di kluster Anda, Anda dapat menambahkan atau memodifikasi item konfigurasi berikut untuk memberikan akses kepada pengguna tertentu.
Pengaturan konfigurasi
Di halaman Configuration layanan Hive di Konsol EMR, pada tab hiveserver2-site.xml, tambahkan atau modifikasi item konfigurasi berikut.
Item konfigurasi
Contoh nilai konfigurasi
Jenis konfigurasi
Catatan
hive.server2.authentication.ldap.userDNPatternuid=%s,ou=people,o=emrTambahkan
Pola User DN mendefinisikan jalur pencarian pengguna di LDAP. Placeholder %s diganti dengan nama pengguna aktual.
hive.server2.authentication.ldap.groupFilterusernameTambahkan
Filter untuk kelompok pengguna. Hanya pengguna yang termasuk dalam kelompok yang ditentukan yang dapat mengakses HiveServer2. Gunakan koma untuk memisahkan beberapa kelompok pengguna.
hive.server2.authentication.ldap.groupClassKeyposixGroupTambahkan
Nilai properti objectClass untuk objek kelompok di LDAP.
hive.server2.authentication.ldap.groupMembershipKeymemberUidTambahkan
Nama properti untuk menyimpan informasi anggota dalam objek kelompok LDAP.
hive.server2.authentication.ldap.baseDNo=emrUbah
Base DN untuk pencarian LDAP. Konfigurasi yang ada harus dimodifikasi menjadi jalur dasar yang sesuai untuk penyaringan kelompok.
Simpan konfigurasi.
Mulai ulang layanan HiveServer2 agar perubahan diterapkan.
Verifikasi koneksi
Setelah Anda mengaktifkan autentikasi LDAP dan mengonfigurasi pengguna yang sesuai, Anda harus menggunakan kredensial pengguna tertentu untuk terhubung ke HiveServer.
Hubungkan ke kluster menggunakan SSH. Untuk informasi selengkapnya, lihat Masuk ke kluster.
Jalankan perintah berikut untuk terhubung ke HiveServer.
Klien Beeline:
beeline -u jdbc:hive2://master-1-1:10000 -n <user> -p <password>JDBC:
jdbc:hive2://master-1-1:10000/default;user=<user>;password=<password>
CatatanDalam perintah tersebut, <user> menentukan pengguna yang dikonfigurasi dalam item konfigurasi
hive.server2.authentication.ldap.groupFilter, dan <password> menentukan kata sandi untuk pengguna tersebut. Ini adalah kredensial untuk pengguna yang Anda tambahkan di Langkah 1.
FAQ
Gejala: Pesan kesalahan berikut muncul saat Anda menjalankan perintah beeline untuk terhubung ke Hive.
Penyebab: Pengguna yang ditentukan dalam perintah koneksi beeline gagal dalam autentikasi LDAP.
Tambahkan pengguna tersebut ke item konfigurasi
hive.server2.authentication.ldap.groupFilterdalam file hiveserver2-site.xml. Atau, hubungkan ke Hive menggunakan pengguna yang sudah ditentukan dalam item konfigurasihive.server2.authentication.ldap.groupFilterdalam file hiveserver2-site.xml.