A HDInsight vállalati biztonsági csomag használataUse Enterprise Security Package in HDInsight

A standard szintű Azure HDInsight-fürtöt, egy egyfelhasználós fürt.The standard Azure HDInsight cluster is a single-user cluster. Ideális a legtöbb vállalatok számára, hogy kisebb alkalmazásfejlesztő csapatok dolgoznak, nagy mennyiségű adat számítási feladatok létrehozásához.It's suitable for most companies that have smaller application teams building large data workloads. Hozzon létre egy dedikált fürtöt igény szerinti és nincs többé szükség esetén semmisítse meg a minden felhasználónak.Each user can create a dedicated cluster on demand and destroy it when it's not needed anymore.

Sok vállalat olyan modellre, amelyben az informatikai csapatok-fürtök kezelése erőforrásfájljait áthelyezték, és több alkalmazásfejlesztő csapat ugyanazokon a fürtökön.Many enterprises have moved toward a model in which IT teams manage clusters, and multiple application teams share clusters. Ezek a nagyobb cégek minden egyes fürt az Azure HDInsight többfelhasználós hozzá kell férniük.These larger enterprises need multiuser access to each cluster in Azure HDInsight.

HDInsight a legnépszerűbb identitásszolgáltatóra, az Active Directory – az olyan felügyelt módon támaszkodik.HDInsight relies on a popular identity provider--Active Directory--in a managed way. A HDInsight integrálásával Azure Active Directory Domain Services (Azure AD DS), a fürtök a tartományi hitelesítő adataival érheti.By integrating HDInsight with Azure Active Directory Domain Services (Azure AD DS), you can access the clusters by using your domain credentials.

A virtuális gépek (VM) a HDInsight tartományhoz csatlakoztatva, a megadott tartományban.The virtual machines (VMs) in HDInsight are domain joined to your provided domain. Így a HDInsight (az Apache Ambari, Apache Hive-kiszolgáló, az Apache Ranger, Apache Spark thrift-kiszolgáló és mások) futó összes szolgáltatás zökkenőmentesen működik a hitelesített felhasználó számára.So, all the services running on HDInsight (Apache Ambari, Apache Hive server, Apache Ranger, Apache Spark thrift server, and others) work seamlessly for the authenticated user. A rendszergazdák majd erős engedélyezési házirendek használatával létrehozhatja az Apache Ranger szerepköralapú hozzáférés-vezérlést biztosít a fürtben lévő erőforrásokat.Administrators can then create strong authorization policies by using Apache Ranger to provide role-based access control for resources in the cluster.

A HDInsight és az Active Directory integrálásaIntegrate HDInsight with Active Directory

Nyílt forráskódú Apache Hadoop a Kerberos protokoll hitelesítési és biztonsági támaszkodik.Open-source Apache Hadoop relies on the Kerberos protocol for authentication and security. HDInsight-fürtcsomópontok vállalati biztonsági csomag (ESP), ezért az Azure Active Directory tartományi szolgáltatások által felügyelt tartományhoz csatlakoznak.Therefore, HDInsight cluster nodes with Enterprise Security Package (ESP) are joined to a domain that's managed by Azure AD DS. A Kerberos biztonsági konfigurálva van a Hadoop-összetevők a fürtön.Kerberos security is configured for the Hadoop components on the cluster.

Automatikusan jönnek létre a következő műveleteket:The following things are created automatically:

  • egy egyszerű szolgáltatást az egyes Hadoop-összetevőkA service principal for each Hadoop component
  • az egyes gépek a tartományhoz csatlakozó számítógép rendszerbiztonsági tagA machine principal for each machine that's joined to the domain
  • egy szervezeti egység (OU) minden egyes fürt ezen szolgáltatás és a gépi rendszerbiztonsági tagok tárolásáhozAn Organizational Unit (OU) for each cluster to store these service and machine principals

Összefoglalva, szüksége a környezet beállításához:To summarize, you need to set up an environment with:

  • Active Directory-tartomány (az Azure Active Directory tartományi szolgáltatások által kezelt).An Active Directory domain (managed by Azure AD DS).
  • Biztonságos LDAP (LDAPS) engedélyezve van az Azure Active Directory tartományi szolgáltatásokban.Secure LDAP (LDAPS) enabled in Azure AD DS.
  • Megfelelő hálózati kapcsolat a HDInsight virtuális hálózat és az Azure Active Directory tartományi szolgáltatások virtuális hálózat, ha úgy dönt, különálló virtuális hálózatok az őket.Proper networking connectivity from the HDInsight virtual network to the Azure AD DS virtual network, if you choose separate virtual networks for them. A HDInsight virtuális hálózaton belüli virtuális gépek rendelkeznie kell egy virtuális hálózati társviszony-létesítésen keresztül az Azure Active Directory tartományi szolgáltatásokban üzemel.A VM inside the HDInsight virtual network should have a line of sight to Azure AD DS through virtual network peering. Ha a HDInsight és az Azure Active Directory tartományi szolgáltatások vannak telepítve az azonos virtuális hálózatba, a rendszer automatikusan létrehozza a kapcsolatot, és további semmit nem kell tennie.If HDInsight and Azure AD DS are deployed in the same virtual network, the connectivity is automatically provided, and no further action is needed.

Állítsa be a különféle tartományvezérlőkSet up different domain controllers

HDInsight jelenleg csak az Azure AD DS támogatja a fő tartományvezérlő, a fürt által használt a Kerberos-kommunikációhoz.HDInsight currently supports only Azure AD DS as the main domain controller that the cluster uses for Kerberos communication. Azonban más összetett az Active Directory-beállításokat is lehetséges, mindaddig, amíg egy ilyen beállítás vezet, a HDInsight hozzáférést az Azure Active Directory tartományi szolgáltatások engedélyezése.But other complex Active Directory setups are possible, as long as such a setup leads to enabling Azure AD DS for HDInsight access.

Azure Active Directory tartományi szolgáltatásokAzure Active Directory Domain Services

Az Azure Active Directory tartományi szolgáltatások biztosít, amely teljesen kompatibilis a Windows Server Active Directoryval felügyelt tartományhoz.Azure AD DS provides a managed domain that's fully compatible with Windows Server Active Directory. A Microsoft gondoskodik kezelése, javításokat és a tartomány egy magas rendelkezésre állású (HA) beállítás figyelése.Microsoft takes care of managing, patching, and monitoring the domain in a highly available (HA) setup. Telepítheti a fürt nem kell bajlódnunk a tartományvezérlők karbantartásához.You can deploy your cluster without worrying about maintaining domain controllers.

Felhasználók, csoportok és jelszavak szinkronizálódnak, az Azure ad-ből.Users, groups, and passwords are synchronized from Azure AD. Az Azure Active Directory tartományi szolgáltatások az Azure AD-példányt a egyirányú szinkronizálás lehetővé teszi, hogy a felhasználók által a vállalati hitelesítő adatokkal jelentkezhetnek be a fürt.The one-way sync from your Azure AD instance to Azure AD DS enables users to sign in to the cluster by using the same corporate credentials.

További információkért lásd: konfigurálása HDInsight-fürtök az Azure AD DS segítségével ESP.For more information, see Configure HDInsight clusters with ESP using Azure AD DS.

A helyszíni Active Directory vagy az Active Directory IaaS virtuális gépekenOn-premises Active Directory or Active Directory on IaaS VMs

Ha egy helyszíni Active Directory-példányból vagy összetettebb Active Directory-beállításokat a tartomány, ezeket az Azure AD-identitások szinkronizálhatók az Azure AD Connect használatával.If you have an on-premises Active Directory instance or more complex Active Directory setups for your domain, you can sync those identities to Azure AD by using Azure AD Connect. Engedélyezheti, hogy az Active Directory-bérlőre az Azure Active Directory tartományi Szolgáltatásokban.You can then enable Azure AD DS on that Active Directory tenant.

Mivel a Kerberos jelszókivonatokat alapul, meg kell Jelszókivonat-szinkronizálás az Azure Active Directory tartományi szolgáltatások engedélyezése.Because Kerberos relies on password hashes, you must enable password hash sync on Azure AD DS.

Ha az összevonási használja az Active Directory összevonási szolgáltatások (AD FS), engedélyeznie kell a Jelszókivonat-szinkronizálás. (Javasolt beállítás esetén lásd: ebben a videóban.) Jelszókivonat-szinkronizálás segít a vész-helyreállítási, abban az esetben az AD FS-infrastruktúra meghiúsul, és azt is védelmet nyújt a kiszivárgott hitelesítő adatok.If you're using federation with Active Directory Federation Services (AD FS), you must enable password hash sync. (For a recommended setup, see this video.) Password hash sync helps with disaster recovery in case your AD FS infrastructure fails, and it also helps provide leaked-credential protection. További információkért lásd: Jelszókivonat-szinkronizálás és az Azure AD Connect-szinkronizálás engedélyezése.For more information, see Enable password hash sync with Azure AD Connect sync.

Használatával a helyszíni Active Directory vagy az IaaS virtuális gépek önmagában, az Active Directory nélkül az Azure AD és az Azure Active Directory tartományi Szolgáltatásokban, nem egy támogatott konfigurációkra vonatkozó ESP HDInsight-fürtöket.Using on-premises Active Directory or Active Directory on IaaS VMs alone, without Azure AD and Azure AD DS, isn't a supported configuration for HDInsight clusters with ESP.

Ha összevonási használatban van, és a jelszókivonatokat megfelelően szinkronizálva lesznek, de hitelesítési hibák azért kapta, ellenőrizze, ha felhőalapú jelszavas hitelesítés engedélyezve van a PowerShell szolgáltatás egyszerű.If federation is being used and password hashes are synced correctly, but you are getting authentication failures, check if cloud password authentication is enabled for the PowerShell service principal. Ha nem, be kell állítani egy kezdőlap Kezdőtartomány felderítése (HRD) házirend az Azure AD-bérlője számára.If not, you must set a Home Realm Discovery (HRD) policy for your Azure AD tenant. Ellenőrizze és állítsa be a HRD-szabályzattal:To check and set the HRD policy:

  1. Az előzetes verzió telepítése Azure AD PowerShell-modul.Install the preview Azure AD PowerShell module.

    Install-Module AzureADPreview
    
  2. Adja meg Connect-AzureAD globális rendszergazdai (bérlői rendszergazdai) hitelesítő adatok használatával.Enter Connect-AzureAD by using global administrator (tenant administrator) credentials.

  3. Ellenőrizze, hogy ha a Microsoft Azure PowerShell szolgáltatásnév már létrejött.Check if the Microsoft Azure PowerShell service principal has already been created.

    Get-AzureADServicePrincipal -SearchString "Microsoft Azure Powershell"
    
  4. Ha még nem létezik, majd az egyszerű szolgáltatás létrehozása.If it doesn't exist, then create the service principal.

    $powershellSPN = New-AzureADServicePrincipal -AppId 1950a258-227b-4e31-a9cf-717495945fc2
    
  5. Hozzon létre, és csatolja a szabályzatot a szolgáltatásnévnek.Create and attach the policy to this service principal.

     # Determine whether policy exists
     Get-AzureADPolicy | Where {$_.DisplayName -eq "EnableDirectAuth"}
    
     # Create if not exists
     $policy = New-AzureADPolicy `
         -Definition @('{"HomeRealmDiscoveryPolicy":{"AllowCloudPasswordValidation":true}}') `
         -DisplayName "EnableDirectAuth" `
         -Type "HomeRealmDiscoveryPolicy"
    
     # Determine whether a policy for the service principal exist
     Get-AzureADServicePrincipalPolicy `
         -Id $powershellSPN.ObjectId
    
     # Add a service principal policy if not exist
     Add-AzureADServicePrincipalPolicy `
         -Id $powershellSPN.ObjectId `
         -refObjectID $policy.ID
    

További lépésekNext steps