全部产品
Search

搜索本产品

    E-MapReduce:Konfigurasi dan Aktifkan Autentikasi LDAP untuk Kyuubi Gateway

    文档中心

    E-MapReduce:Konfigurasi dan Aktifkan Autentikasi LDAP untuk Kyuubi Gateway

    更新时间:Jul 06, 2025

    Tingkatkan keamanan Kyuubi dengan mengaktifkan autentikasi LDAP. LDAP memastikan bahwa hanya klien dengan nama pengguna dan kata sandi yang valid yang dapat terhubung ke Server Kyuubi untuk memulai Sesi Spark dan menjalankan kueri SQL, mencegah akses tidak sah ke data sensitif dan fitur.

    Prasyarat

    • Anda telah membuat Kyuubi Gateway dan Token. Untuk informasi lebih lanjut, lihat Kelola Kyuubi Gateway.

      Direkomendasikan versi mesin berikut:

      • esr-4.x: esr-4.3.0 dan versi selanjutnya.

      • esr-3.x: esr-3.3.0 dan versi selanjutnya.

      • esr-2.x: esr-2.7.0 dan versi selanjutnya.

    • Opsional: Jika Anda perlu menggunakan layanan OpenLDAP dari kluster EMR pada ECS, buat kluster dengan layanan OpenLDAP dan tambahkan pengguna terlebih dahulu. Untuk informasi lebih lanjut, lihat Buat Kluster dan Manajemen Pengguna OpenLDAP.

    Prosedur

    Langkah 1: Periksa jaringan

    Sebelum memulai konfigurasi, periksa konektivitas jaringan antara Serverless Spark dan Virtual Private Cloud (VPC) Anda agar Kyuubi Gateway dapat terhubung ke layanan LDAP untuk autentikasi. Untuk informasi lebih lanjut, lihat Konektivitas Jaringan antara EMR Serverless Spark dan VPC Lainnya.

    Langkah 2: Konfigurasikan Kyuubi Gateway

    Untuk mengaktifkan autentikasi LDAP untuk Kyuubi Gateway, hentikan sesi terlebih dahulu. Kemudian edit Kyuubi Gateway, pilih nama koneksi dari daftar dropdown Network Connectivity, dan tambahkan item konfigurasi berikut ke Kyuubi Configuration. Mulai ulang Kyuubi Gateway untuk memastikan perubahan diterapkan.

    kyuubi.authentication                       LDAP
kyuubi.authentication.ldap.baseDN           <ldap_base_dn>
kyuubi.authentication.ldap.userDNPattern    <ldap_user_pattern>
kyuubi.authentication.ldap.binddn           <ldap_bind_dn>
kyuubi.authentication.ldap.bindpw           <ldap_bind_pwd>
kyuubi.authentication.ldap.url              ldap://<ldap_url>:<ldap_port>/

    Berikut ini adalah penjelasan parameter-parameter tersebut. Sesuaikan mereka berdasarkan situasi Anda.

    Catatan

    Jika Anda terhubung ke layanan OpenLDAP dari kluster EMR pada ECS, Anda dapat merujuk contoh untuk pengisian.

    Parameter

    Deskripsi

    Contoh

    kyuubi.authentication

    Tetap sebagai LDAP. Autentikasi LDAP diaktifkan.

    LDAP

    kyuubi.authentication.ldap.baseDN

    Base DN untuk autentikasi layanan LDAP.

    o=emr

    kyuubi.authentication.ldap.userDNPattern

    Pola untuk mengonversi pengguna login menjadi LDAP DN.

    uid=%s,ou=people,o=emr

    Saat pengguna "test" masuk, itu akan dikonversi menjadi DN = uid=test,ou=people,o=emr untuk verifikasi kueri dalam layanan LDAP.

    kyuubi.authentication.ldap.binddn

    DN terikat dengan layanan koneksi LDAP.

    uid=admin,o=emr

    kyuubi.authentication.ldap.bindpw

    Kata sandi DN terikat dengan layanan koneksi LDAP.

    Temukan nilai parameter admin_pwd dalam konfigurasi layanan OpenLDAP.

    kyuubi.authentication.ldap.url

    Alamat koneksi layanan LDAP, dalam format ldap://<ldap_url>:<ldap_port>.

    Untuk <ldap_url>, masukkan alamat IP internal atau nama domain dari Node master. Untuk <ldap_port>, nilai default adalah 10389, misalnya, ldap://master-1-1.c-xxxxxxxxxx.cn-hangzhou.emr.aliyuncs.com:10389.

    Langkah 3: Terhubung ke Kyuubi Gateway dengan autentikasi LDAP diaktifkan

    Bagian ini menyediakan dua metode untuk terhubung ke Kyuubi Gateway. Sebelum terhubung, sesuaikan informasi berikut berdasarkan situasi Anda:

    • <endpoint>: Informasi Endpoint (public) atau Endpoint (internal) dari tab Overview.

      Jika Anda menggunakan Endpoint (internal), Anda hanya memiliki akses ke sumber daya Kyuubi Gateway dalam VPC yang sama.

    • <token>: Informasi Token dari tab Token Management.

    • <port>: Nomor port. Nomor port adalah 443 saat Anda mengakses server menggunakan endpoint publik, dan 80 saat Anda mengakses server menggunakan endpoint internal wilayah yang sama.

    • <username> dan <password>: Nama akun dan kata sandi untuk layanan LDAP. Jika Anda terhubung ke layanan OpenLDAP dari kluster EMR pada ECS, ini adalah nama pengguna dan kata sandi pada halaman User Management EMR pada ECS.

    Metode 1: Gunakan alat baris perintah kyuubi-beeline

    • Spesifikasi langsung: Jika Anda tidak keberatan menampilkan kata sandi di baris perintah, Anda dapat langsung memberikan kredensial pengguna melalui baris perintah.

      kyuubi-beeline -u 'jdbc:hive2://<endpoint>:<port>/;transportMode=http;httpPath=cliservice/token/<token>' -n <username> -p <password>

    • Input interaktif: Untuk alasan keamanan, Anda dapat menghilangkan kata sandi setelah -p, dan memasukkan kata sandi secara manual tanpa menampilkan karakter.

      kyuubi-beeline -u 'jdbc:hive2://<endpoint>:<port>/;transportMode=http;httpPath=cliservice/token/<token>' -n <username> -p

    Metode 2: Gunakan URL JDBC

    Anda dapat menggunakan aplikasi lain, seperti aplikasi Java, atau membangun URL Java Database Connectivity (JDBC) lengkap untuk terhubung ke Spark Thrift Server. URL harus dalam format berikut:

    jdbc:hive2://<endpoint>:<port>/;transportMode=http;httpPath=cliservice/token/<token>;user=<username>;password=<password>