Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ MapReduce Service/ Visão geral de serviço/ Componentes/ KrbServer e LdapServer/ Princípios de KrbServer e LdapServer

Atualizado em 2023-05-19 GMT+08:00

Ver PDF

Princípios de KrbServer e LdapServer

Visão geral

Para gerenciar as permissões de controle de acesso em dados e recursos em um cluster, recomenda-se que o cluster seja instalado no modo de segurança. No modo de segurança, uma aplicação de cliente deve ser autenticada e uma sessão segura deve ser estabelecida antes que a aplicação acesse qualquer recurso no cluster. O MRS usa o KrbServer para fornecer autenticação Kerberos para todos os componentes, implementando um mecanismo de autenticação confiável.

O LdapServer oferece suporte ao protocol LDAP (Lightweight Directory Access Protocol) e permite armazenar dados de usuários e grupos de usuários para autenticação Kerberos.

Arquitetura

A função de autenticação de segurança para logon do usuário depende do Kerberos e do LDAP.

Figura 1 Arquitetura de autenticação de segurança
Clique para ampliar

Figura 1 inclui três cenários:

Efetuar logon no Manager Web UI do MRS
A arquitetura de autenticação inclui as etapas 1, 2, 3 e 4.
Efetuar logon em uma IU da Web de componente
A arquitetura de autenticação inclui as etapas 5, 6, 7 e 8.
Acessar entre componentes
A arquitetura de autenticação inclui a etapa 9.

**Tabela 1** Módulos principais
Nome da conexão	Descrição
Manager	Gerenciador de cluster.
Manager WS	WebBrowser
Kerberos1	Serviço KrbServer (plano de gerenciamento) implementado no Manager do MRS, ou seja, Kerberos do OMS
Kerberos2	Serviço KrbServer (plano de serviço) implementado no cluster
LDAP1	Serviço LdapServer (plano de gerenciamento) implementado no Manager do MRS, ou seja, LDAP do OMS
LDAP2	Serviço LdapServer (plano de serviço) implementado no cluster

Modo de operação de dados do Kerberos1 no LDAP: as instâncias ativas e em espera do LDAP1 e as duas instâncias em espera do LDAP2 podem ser acessadas no modo de balanceamento de carga. As operações de gravação de dados podem ser executadas apenas na instância do LDAP1 ativa. As operações de leitura de dados podem ser executadas em LDAP1 ou LDAP2.

Modo de operação de dados do Kerberos2 no LDAP: as operações de leitura de dados podem ser executadas em LDAP1 e LDAP2. As operações de gravação de dados podem ser executadas apenas na instância do LDAP1 ativa.

Princípio

Autenticação de Kerberos

Figura 2 Processo de autenticação
Clique para ampliar

Leitura e gravação de dados do LDAP

Figura 3 Processo de modificação de dados
Clique para ampliar

Sincronização de dados do LDAP

Sincronização de dados do LDAP do OMS antes da instalação do cluster
Figura 4 Sincronização de dados do LDAP do OMS

Direção de sincronização de dados antes da instalação do cluster: os dados são sincronizados do LDAP ativo do OMS para o LDAP em espera do OMS.
Sincronização de dados do LDAP após a instalação do cluster
Figura 5 Sincronização de dados do LDAP

Direção da sincronização de dados após a instalação do cluster: os dados são sincronizados do LDAP do OMS ativo para o LDAP do OMS em espera, o LDAP do componente em espera e o LDAP do componente em espera.