当您使用LDAP管理用户账号,访问Hue时需进行LDAP相关的配置。本文以Hue对接E-MapReduce自带的OpenLDAP为例,介绍如何配置Hue后端对接LDAP,并通过LDAP进行身份验证。自建的LDAP请您根据实际情况修改参数。

操作步骤

  1. 进入服务配置。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏中,单击集群服务 > Hue
    6. 单击配置页签。
    7. 服务配置区域,单击hue
      hue
  2. 修改backend的值为desktop.auth.backend.LdapBackend
  3. 增加自定义配置。
    1. 单击右上角的自定义配置,添加如下配置项。
      注意 增加下表的自定义配置时,只有desktop.ldap.bind_password参数需要在E-MapReduce控制台获取,其余参数请按表格中给出的参数值填写。
      配置项 描述 示例值
      desktop.ldap.ldap_url LDAP服务器的URL。 ldap://emr-header-1:10389
      desktop.ldap.bind_dn 绑定的管理员用户dn,该dn用于连接到LDAP或AD以搜索用户和用户组信息。如果LDAP服务器支持匿名绑定,则此项可不设置。 uid=admin,o=emr
      desktop.ldap.bind_password 绑定的管理员用户dn的密码。
      说明 需要在E-MapReduce控制台上,通过OpenLDAP的服务配置获取manager_password的值,即为密码。
      desktop.ldap.ldap_username_pattern LDAP用户名dn匹配模式,描述了username如何对应到LDAP中的dn。必须包含<username>字符串才能在身份验证期间用于替换。 uid=<username>,ou=people,o=emr
      desktop.ldap.base_dn 用于搜索LDAP用户名及用户组的base dn。 ou=people,o=emr
      desktop.ldap.search_bind_authentication 是否使用desktop.ldap.bind_dndesktop.ldap.bind_password配置中提供的凭据,搜索绑定身份验证连接到LDAP服务器。 false
      desktop.ldap.use_start_tls 是否尝试与用ldap://指定的LDAP服务器建立TLS连接。 false
      desktop.ldap.create_users_on_login 用户尝试以LDAP凭据登录后,是否在Hue中创建用户。 true
    2. 单击确定
  4. 保存配置。
    1. 单击右上角的保存
    2. 开启自动更新配置并设置相关信息。
    3. 单击确定
  5. 部署配置。
    1. 单击右上角的部署客户端配置
    2. 设置相关信息。
    3. 单击确定
  6. 重启Hue。
    1. 在右上角选择操作 > 重启Hue
    2. 执行集群操作对话框,填写执行原因,单击确定
    3. 确认对话框,单击确定
    重启Hue成功后,您就可以在Hue中访问开启LDAP认证的引擎了。

后续步骤

注意 对接LDAP之后,原有的管理员账号admin已经不能登录,新的管理员用户为对接LDAP之后第一个登录的用户。
访问Hue,请参见使用说明