このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント

Webブラウザの構成

Kerberos対応ビッグ・データ・サービス・クラスタのWebブラウザを構成します。

すべてのタスクが完了すると、クラスタ内のセキュアなWebUIsにWindowsクライアント・システムからアクセスできます。

Oozie Web Consoleまたはその他のWebUIsにアクセスするためのWebブラウザの構成

これらのステップは、Kerberos HTTP SPNEGOによって保護されているWebUIsにアクセスするために、Mozilla Firefoxを使用したWindows OSおよびMacに適用されます。
  1. about:configページをロードして、低レベルのFirefox構成ページを開きます。
  2. 保証警告を選択して、Firefox構成ページを入力します。
  3. 「検索: 」ボックスに、network.negotiate-auth.trusted-urisと入力します。
  4. network.negotiate-auth.trusted-urisを選択し、WebUIが起動されるロールをサポートするホストのFQDNを入力します。
    • NameNode WebUIを起動する場合は、NameNodeロールを持つサーバーのFDQNを入力します。
    • ResourceManger WebUIを起動する場合は、ResourceManagerロールを持つサーバーのFQDNを入力します。
    • 他のホスト名がすでにこのフィールドにある場合は、ホストのFQDNのカンマ区切りリストを作成します。
    • もう1つのオプションは、対象のWebUIsをサポートするロールを持つホストのドメイン名を入力することです。たとえば、.<DOMAIN>です。たとえば、.example.comです。複数のドメインおよびホスト名は、カンマで区切ります。
  5. 「OK」を選択します。
  6. 検索ボックスでプロパティnetwork.auth.use-sspiを検索します。
    ノート

    SSPIはWindows環境にネイティブであり、MIT Kerberos環境に同等の認証メカニズムを提供しない可能性があるため、MIT Kerberosを使用する場合はSSPIを無効にする必要があります。
  7. 値を「False」に切り替えるプロパティを選択します。
  8. 次のオプションの更新は、Firefoxの構成ページでも必要になる場合があります。たとえば、about:configページです。それぞれについて、前述のステップ1から7を完了します。
    • network.negotiate-auth.delegation-uris
      1. ブラウザがユーザー承認をサーバーに委任する可能性のあるサイトを一覧表示します。
      2. ブラウザがユーザー認可をサーバーに委任する可能性のあるサイトのドメイン(.<DOMAIN>)で更新します。(例: .example.com)
    • network.negotiate-auth.using-native-gsslib
      1. デフォルトのGSSAPIライブラリを使用するには、Falseに設定します。
    • network.negotiate-auth.allow-non-fqdn

      FQDNのかわりにサービス・ドメイン名を受け入れるには、「True」に設定します。

  9. 変更が完了したら、Firefoxブラウザを再起動します。開いているすべての Firefoxウィンドウを再起動する必要があります。これでSPNEGO用のFirefoxの設定は完了です。

Kerberosクライアントのインストール

これらのステップはWindowsのみに適用されます。
  1. 次の場所からMIT Kerberos for Windowsをダウンロードします。

    http://web.mit.edu/kerberos/dist/

  2. msiインストール・ファイルをダウンロードし、設定ウィザードを開始するファイルを選択します
  3. 「次」を選択し、ライセンス契約を受け入れます。
  4. 「次へ」を選択し、「標準設定」を選択します。
    これはほとんどのユーザーにお薦めします。
  5. 「次へ」を選択します。
  6. インストールを開始するには、「インストール」を選択します。
  7. インストールが完了したら、「終了」を選択します。

Kerberos資格証明キャッシュ・ファイルの設定

これらのステップはWindows専用です。
  1. WindowsマシンでC:\tempを作成します。
  2. 「コントロールパネル」「すべてのコントロールパネル項目」「システム」に移動します。
  3. 「システムの詳細設定」を選択し、「詳細」タブで「環境変数」を選択します。
  4. 「システム変数」の下に新しいKRB5CCNAME環境変数を作成します(存在しない場合)。
    :
    Variable name : "KRB5CCNAME"
Variable Value : C:\temp\krb5cache
    ノート

    環境変数は、「ユーザー変数」または「システム変数」の下に作成できます。ただし、KRB5CCNAME「システム変数」の下に作成する必要があります。
  5. 新しい変数を保存して開いているすべてのウィンドウを閉じるには、「OK」を選択します。
    ノート

    この時点ではシステムを再起動しないでください。

Windows用のKerberos構成ファイルの設定

  1. クラスタ・マスター・ホストからWindowsシステムに/etc/krb5.confをコピーします。
  2. krb5.iniの名前を変更し、C:\ProgramData\MIT\Kerberos5にコピーします。
  3. KRB5_CONFIG環境変数が正しく定義されていることを確認します。必要に応じて更新します。

    KRB5_CONFIGは、krb5.iniの場所を指す必要があります。

    1. Windowsシステムで、「コントロール・パネル」「システム」にナビゲートします。
    2. 「システムの詳細設定」を選択し、「詳細」タブで「環境変数」を選択します。
    3. 「システム変数」の下に新しいKRB5_CONFIG環境変数を作成します(存在しない場合)。
      :
      Variable name : "KRB5_CONFIG"
Variable Value : C:\ProgramData\MIT\Kerberos5\krb5.ini
      ノート

      環境変数は、「ユーザー変数」または「システム変数」の下に作成できます。ただし、KRB5_CONFIG「システム変数」の下に作成する必要があります。
    4. 新しい変数を保存して開いているすべてのウィンドウを閉じるには、「OK」を選択します。
  4. マスター・ノードのパブリックIPアドレスでC:\Windows\System32\Drivers\etc\hostsを更新して、すべてのクラスタ・マスター・ノードおよびユーティリティ・ノードをWindowsクライアント上のhostsファイルに追加します。
  5. 環境変数を更新するには、Windowsシステムを再起動します。

MacでのKerberos構成ファイルの設定

  1. クラスタ・マスター・ホストからMacシステムに/etc/krb5.confをコピーします。
  2. マスター・ノードのパブリックIPアドレスで/etc/hostsを更新して、Macクライアント上の/etc/hostsにすべてのクラスタ・マスターおよびユーティリティ・ノードを追加します。

Kerberosチケットの取得

WindowsクライアントでのKerberosチケットの取得(オプション1)

WindowsクライアントでKerberosチケットを認証するには、2つの方法があります。これが最初のオプションです。オプション2については、WindowsクライアントでのKerberosチケットの取得(オプション2)を参照してください。
  1. Windowsシステムでは、「スタート」を選択し、プログラムのリストに対して「MIT Kerberos Ticket Manager」ソフトウェアを開きます。
  2. 「チケットの取得」を選択します。
  3. Kerberosプリンシパル名およびパスワードを入力します。
  4. ユーザー名とパスワードを保存します。

    チケットは、チケット マネージャ ツールに表示されます。

WindowsクライアントでのKerberosチケットの取得(オプション2)

WindowsクライアントでKerberosチケットを認証するには、2つの方法があります。これは2番目のオプションです。オプション1については、WindowsクライアントでのKerberosチケットの取得(オプション1)を参照してください。
  1. 新しく作成したkeytabを使用してKerberosプリンシパルを認証します。 
    >C:\"Program Files\MIT\Kerberos\bin\kinit.exe -kt <PATH>\<KEREROS_PRINCIPAL>.keytab <KERBEROS_PRINCIPAL>
  2. 有効なチケットが作成されたことを確認します。成功した出力の例: 
    >C:\"Program Files"\MIT\Kerberos\bin\klist.exe
Ticket cache: FILE:C\temp\krb5cache
Default principal: <KERBEROS_PRINCIPAL>@<REALM>

Valid starting Expires Service principal
11/01/22 08:26:58 11/02/22 08:26:58 krbtgt/<DOMAIN>@<REALM>
renew until 11/08/22 07:26:58

MacでのKerberosチケットの取得

  1. 次のものを使用して、原則名を取得します。 
    # klist -kt <KEYTAB>
  2. クライアントマシンにトークンを作成します。 
    # kinit -kt <KEYTAB> <PRINCIPLE_NAME>

Oozie Webコンソールの有効化

Kerberosが有効なODHクラスタでOozie Webコンソールを有効にするには、追加のステップが必要です。