Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ MapReduce Service/ Descripción general del servicio/ Componentes/ KrbServer y LdapServer/ Principios de KrbServer y LdapServer

Actualización más reciente 2023-04-14 GMT+08:00

Ver PDF

Principios de KrbServer y LdapServer

Descripción

Para gestionar los permisos de control de acceso en datos y recursos de un clúster, se recomienda que el clúster se instale en modo de seguridad. En modo de seguridad, se debe autenticar una aplicación de cliente y se debe establecer una sesión segura antes de que la aplicación acceda a cualquier recurso del clúster. MRS utiliza KrbServer para proporcionar autenticación de Kerberos para todos los componentes, implementando un mecanismo de autenticación confiable.

LdapServer admite el protocolo ligero de acceso a directorios (LDAP) y proporciona la capacidad de almacenar datos de usuarios y grupos de usuarios para la autenticación de Kerberos.

Arquitectura

La función de autenticación de seguridad para el inicio de sesión del usuario depende de Kerberos y LDAP.

Figura 1 Arquitectura de autenticación de seguridad
haga clic para agrandar

Figura 1 incluye tres escenarios:

Iniciar sesión en la Manager Web UI de MRS
La arquitectura de autenticación incluye las etapas 1, 2, 3 y 4.
Iniciar sesión en web UI de componente
La arquitectura de autenticación incluye las etapas 5, 6, 7 y 8.
Acceso entre componentes
La arquitectura de autenticación incluye la etapa 9.

**Tabla 1** Módulos clave
Nombre de la conexión	Descripción
Manager	Manager de clústeres
Manager WS	WebBrowser
Kerberos1	Servicio de KrbServer (plano de gestión) desplegado en MRS Manager, es decir, OMS Kerberos
Kerberos2	Servicio de KrbServer (plano de servicio) desplegado en el clúster
LDAP1	Servicio LdapServer (plano de gestión) desplegado en MRS Manager, es decir, OMS LDAP
LDAP2	Servicio LdapServer (plano de servicio) desplegado en el clúster

Modo de operación de datos de Kerberos1 en LDAP: Se puede acceder a las instancias activas y en espera de LDAP1 y a las dos instancias en espera de LDAP2 en modo de balanceo de carga. Las operaciones de escritura de datos sólo se pueden realizar en la instancia LDAP1 activa. Las operaciones de lectura de datos se pueden realizar en LDAP1 o LDAP2.

Modo de operación de datos de Kerberos2 en LDAP: Las operaciones de lectura de datos se pueden realizar en LDAP1 y LDAP2. Las operaciones de escritura de datos sólo se pueden realizar en la instancia LDAP1 activa.

Principio

Autenticación de Kerberos

Figura 2 Proceso de autenticación
haga clic para agrandar

Lectura y escritura de datos de LDAP

Figura 3 Proceso de modificación de datos
haga clic para agrandar

Sincronización de datos de LDAP

Sincronización de datos de LDAP OMS antes de la instalación del clúster
Figura 4 Sincronización de datos de OMS LDAP

Dirección de sincronización de datos antes de la instalación del clúster: Los datos se sincronizan desde OMS LDAP activo al OMS LDAP en espera.
Sincronización de datos de LDAP después de la instalación del clúster
Figura 5 Sincronización de datos de LDAP

Dirección de sincronización de datos después de la instalación del clúster: Los datos se sincronizan desde el OMS LDAP activo al OMS LDAP en espera, el componente LDAP en espera y el componente LDAP en espera.