開啟LDAP認證功能後,訪問服務需要您提供LDAP使用者名稱和密碼進行身份認證,從而提高了服務的安全性。EMR提供了一鍵開啟LDAP認證的功能,避免了複雜的配置過程,方便您使用LDAP認證。本文為您介紹如何開啟Presto服務的LDAP認證並串連Presto。
前提條件
已建立選擇了Presto和OpenLDAP服務的叢集,詳情請參見建立叢集。
注意事項
該功能僅適用於普通叢集,高安全叢集不支援開啟LDAP認證。
操作步驟
添加EMR使用者。
在頂部功能表列處,根據實際情況選擇地區和資源群組。
單擊目的地組群操作列的節點管理。
單擊上方的使用者管理。
添加使用者,詳情請參見添加使用者。
開啟LDAP認證。
單擊上方的叢集服務。
在叢集服務頁面,單擊Presto服務地區的狀態。
在服務概述地區,開啟PrestoLDAP開關。
在彈出的對話方塊中,單擊確定。
重啟PrestoMaster。
在組件列表地區,單擊PrestoMaster操作列的重啟。
在彈出的對話方塊中,輸入執行原因,單擊確定。
在確認對話方塊中,單擊確定。
串連Presto服務。
開啟LDAP認證後,當您訪問Presto時需要提供LDAP認證憑據。
通過SSH方式串連叢集,請參見登入叢集。
執行以下命令,訪問Presto。
重要開啟LDAP後只能通過HTTPS協議訪問Presto,HTTP連接埠8889會被關閉,UI將無法以原先方式訪問,設定的http-server.http.port也會被http-server.https.port覆蓋,HTTPS連接埠值為7779。
presto --server https://{fqdn}:7779 --keystore-path {keystore_location} \ --keystore-password {keystore_passwd} --catalog hive --user {user} --password參數
說明
{fqdn}
master-1-1節點的FQDN,可通過
hostname -f命令擷取,格式為master-1-1.c-xxxxxxx.cn-xxxxxx.emr.aliyuncs.com。{keystore_location}
keystore的路徑。
config.properties中
http-server.https.keystore.path的值,固定為/etc/emr/presto-conf/keystore。{keystore_passwd}
keystore的密碼。
config.properties中
http-server.https.keystore.key的值,需自行擷取,可以在master-1-1節點上執行命令awk -F= '/http-server.https.keystore.key/{print $2}' ${PRESTO_CONF_DIR}/config.properties查看。{user}
為LDAP的使用者名稱,即您在步驟1中添加的使用者名稱。
執行上述命令後,根據提示資訊輸入密碼,密碼為LDAP的密碼,即您在步驟1添加使用者時設定的密碼。
可選:關閉LDAP認證。
在Presto服務的服務概述地區,關閉PrestoLDAP開關。
在彈出的對話方塊中,單擊確定。
重啟PrestoMaster。
在組件列表地區,單擊PrestoMaster操作列的重啟。
在彈出的對話方塊中,輸入執行原因,單擊確定。
在確認對話方塊中,單擊確定。