1.文档编写目的

前面Fayson文章讲《0558-01-如何在Redhat7上安装FreeIPA》、《0559-02-如何在Redhat7上安装FreeIPA的客户端》、《0560-03-如何使用root用户重置FreeIPA admin密码》、《0561-04-如何将CDH集成的KDC迁移至FreeIPA的Kerberos认证》、《0562-05-5.15.0-如何为Hive集成FreeIPA的用户认证》和《0563-06-如何在FreeIPA上管理域名解析》，FreeIPA集成了用户管理及Kerberos认证，本篇文章Fayson主要介绍如何在CDH集群中为Impala集成FreeIPA的用户认证。

内容概述

1.测试环境描述

2.Impala集成OpenLDAP

3.Impala集成验证

测试环境

1.RedHat7.3

2.FreeIPA4.6.4

3.CM和CDH版本为5.15.0

2.环境准备

FreeIPA服务器

3.Impala配置FreeIPA认证

Impala配置LDAP相关参数说明：

1.在集群中使用LDAP的命令查找到FreeIPA中用户所属的BaseDN，命令如下：

[root@cdh04 ~]# ldapsearch -h cdh04.fayson.net -b "dc=fayson,dc=net" -D "cn=directory manager" -W |grep cdhadmin

在查找出来的信息中，找到member:uid=cdhadmin行，cn=users,cn=accounts,dc=fayson,dc=net即为LDAP BaseDN。

2.登录CM的Web控制台，进入Impala服务，修改LDAP配置

3.在Impala Daemon命令行添加如下配置” --ldap_passwords_in_clear_ok”

完成上述配置后，根据CM提示重启Impala服务即可。

4.Impala集成FreeIPA验证

1.登录Hue为FreeIPA上的cdhadmin用户授权

2.在命令行使用cdhadmin用户访问Impala

[root@cdh03 ~]# more /etc/passwd |grep cdhadmin[root@cdh03 ~]# id cdhadmin[root@cdh03 ~]# klist[root@cdh03 ~]# impala-shell -i cdh03.fayson.net -l -u cdhadmin --auth_creds_ok_in_clear 

3.执行一个SQL的Count操作

作业执行成功，Impala上监控的状态

5.总结

1.Fayson使用的是CDH5.15.0版本，在该版本下Impala安全环境下有一个Bug，具体可以参考《 Kerberos环境下Impala Daemon在CDH5.15版本中KRPC端口27000异常分析》

2./etc/krb5.conf配置文件的格式要规范统一，不要在同一个配置章节下有多一个或少一个空格会造成莫名其妙的影响。