Amazon EMR
Amazon EMR 版本指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

为 LDAP 用户配置 Hue

通过与 LDAP 集成,用户可以使用 LDAP 目录中存储的现有凭证登录 Hue。将 Hue 与 LDAP 集成时,无需在 Hue 中独立管理用户信息。下面的信息演示与 Microsoft Active Directory 进行的 Hue 集成,但是配置选项类似于任何 LDAP 目录。

LDAP 身份验证首先绑定到服务器并建立连接。随后,建立的连接用于任何后续查询以搜索 LDAP 用户信息。除非您的 Active Directory 服务器允许匿名连接,否则需要使用绑定可分辨名称和密码建立连接。绑定可分辨名称 (或 DN) 通过 bind_dn 配置设置进行定义。绑定密码通过 bind_password 配置设置进行定义。Hue 通过两种方式绑定 LDAP 请求:搜索绑定和直接绑定。将 Hue 与 Amazon EMR 一起使用的首选方法是搜索绑定。

将搜索绑定用于 Active Directory 时,Hue 使用用户名称属性 (通过 user_name_attr config 定义) 查找需要从基本可分辨名称 (或 DN) 检索的属性。当完整 DN 对于 Hue 用户未知时,搜索绑定十分有用。

例如,您可以设置 user_name_attr config 以使用公用名 (或 CN)。在此情况下,Active Directory 服务器使用在登录过程中提供的 Hue 用户名在目录树中搜索匹配的公用名 (从基本可分辨名称开始)。如果找到 Hue 用户的公用名,则服务器返回用户的可分辨名称。Hue 随后通过执行绑定操作来构建用于对用户进行身份验证的可分辨名称。

注意

搜索绑定从基本可分辨名称开始,在所有目录子树中搜索用户名。Hue LDAP 配置中指定的基本可分辨名称应是用户名的最近父级,否则 LDAP 身份验证性能可能受影响。

将直接绑定用于 Active Directory 时,必须使用精确的 nt_domainldap_username_pattern 进行身份验证。使用直接绑定时,如果定义了 nt 域 (通过 nt_domain 配置设置进行定义) 属性,则使用以下形式创建用户可分辨名称模板:<login username>@nt_domain。此模板用于从基本可分辨名称开始,搜索所有目录子树。如果未配置 nt 域,则 Hue 搜索用户的精确可分辨名称模式 (通过 ldap_username_pattern 配置设置进行定义)。在这种情况下,服务器从基本可分辨名称开始,在所有目录子树中搜索匹配 ldap_username_pattern 值。

使用 AWS CLI 启动带有针对 Hue 的 LDAP 属性的集群

  • 要为 hue-ini 指定 LDAP 属性,请创建一个安装了 Hue 的集群并引用包含 LDAP 的配置属性的 json 文件。下面显示了一个示例命令,此命令引用 Amazon S3 中存储的配置文件 myConfig.json

    aws emr create-cluster --release-label emr-5.14.0 --applications Name=Hue Name=Spark Name=Hive \ --instance-type m4.large --instance-count 3 --configurations https://s3.amazonaws.com/mybucket/myfolder/myConfig.json.

    下面显示的是 myConfig.json 的内容示例。

    [ { "Classification": "hue-ini", "Properties": {}, "Configurations": [ { "Classification": "desktop", "Properties": {}, "Configurations": [ { "Classification": "ldap", "Properties": {}, "Configurations": [ { "Classification": "ldap_servers", "Properties": {}, "Configurations": [ { "Classification": "yourcompany", "Properties": { "base_dn": "DC=yourcompany,DC=hue,DC=com", "ldap_url": "ldap://ldapurl", "search_bind_authentication": "true", "bind_dn": "CN=hue,CN=users,DC=yourcompany,DC=hue,DC=com", "bind_password": "password" }, "Configurations": [] } ] } ] } ] } ] } ]

在 Hue 中查看 LDAP 设置

  1. 验证您是否有到 Amazon EMR 集群主节点的活动 VPN 连接或 SSH 隧道。然后,在浏览器中,键入 master-public-dns:8888 以打开 Hue Web 界面。

  2. 使用 Hue 管理员凭证登录。如果 Did you know? (您知道吗?) 窗口打开,请单击 Got it, prof! (收到了,教授!) 关闭它。

  3. 单击工具栏中的 Hue 图标。

  4. About Hue (关于 Hue) 页面上,单击 Configuration (配置)

  5. Configuration Sections and Variables (配置部分和变量) 部分中,单击 Desktop (桌面)

  6. 滚动到 ldap 部分查看设置。