OpenLDAP は Lightweight Directory Access Protocol (LDAP) のオープンソース実装です。E-MapReduce (EMR) クラスターでは、OpenLDAP がユーザーアカウントを管理し、オープンソースサービスに対する ID 認証を実行します。
OpenLDAP とのサービス統合
EMR クラスターでは、Knox がデフォルトで OpenLDAP と統合されています。EMR コンソールの [アクセスリンクとポート] タブから各サービスの Web UI にアクセスすると、Knox が OpenLDAP を使用してご利用の ID を認証します。
以下のオープンソースサービスは EMR で LDAP 認証をサポートしています。各サービスごとに個別に LDAP 認証を有効化する必要があります。手順はサービスによって異なります。
| サービス | トピック |
|---|---|
| Hive | LDAP 認証の使用 |
| Spark | LDAP 認証の管理 |
| Impala | LDAP 認証の管理 |
| Trino | LDAP 認証の管理 |
| Presto | LDAP 認証の管理 |
| Kafka | LDAP ユーザーの認証設定 |
上記に記載されていないサービスについては、LDAP 認証を手動で有効化するためにオープンソースコミュニティのドキュメントをご参照ください。ご利用の EMR クラスターの OpenLDAP インスタンスに接続する際は、以下の接続パラメーターを使用します。
| パラメーター | 説明 | デフォルト値 |
|---|---|---|
| サービスアドレス | OpenLDAP に接続するための LDAP URL です。高可用性クラスターの場合は、両方のアドレスを指定してください。 |
通常クラスター: 高可用性クラスター: |
| BaseDN | ユーザーエントリが格納されているディレクトリツリーのルートを定義する識別名 (DN) です。たとえば、ou=people,o=emr は、ユーザーが emr 組織内の people 組織単位に格納されていることを意味します。この値は、OpenLDAP サービスページの [設定] タブにある user_base_dn |
ou=people,o=emr |
| adminDN | LDAP ディレクトリへのバインドに使用される管理者アカウントの DN です。この値は、OpenLDAP サービスページの [設定] タブにある admin_dn |
uid=admin,o=emr |
| 管理者パスワード | adminDN アカウントのパスワード。OpenLDAP サービスページの [設定] タブにある admin_pwd |
— |
LDAP ユーザーの管理
EMR コンソールの [ユーザー] タブから LDAP ユーザーを追加できます。これにより、Alibaba Cloud RAM ユーザーと同じ名前のユーザーが OpenLDAP に作成されます。詳細については、「ユーザーアカウントの管理」をご参照ください。
コマンドラインから直接ユーザーを管理するには、ldapadd、ldapdelete、および ldapmodify などの OpenLDAP CLI コマンド、または LDIF ファイルを使用します。詳細については、OpenLDAP ドキュメントをご参照ください。