Enterprise Security Package in HDInsight gebruikenUse Enterprise Security Package in HDInsight

Het standaard Azure HDInsight-cluster is een cluster met één gebruiker.The standard Azure HDInsight cluster is a single-user cluster. Het is geschikt voor de meeste bedrijven met kleinere toepassings teams die werk belastingen voor grote gegevens bouwen.It's suitable for most companies that have smaller application teams building large data workloads. Elke gebruiker kan een toegewezen cluster op aanvraag maken en dit vernietigen wanneer het niet meer nodig is.Each user can create a dedicated cluster on demand and destroy it when it's not needed anymore.

Veel ondernemingen zijn verplaatst naar een model waarin IT-teams clusters beheren en meerdere toepassings teams delen clusters.Many enterprises have moved toward a model in which IT teams manage clusters, and multiple application teams share clusters. Deze grotere ondernemingen hebben meerdere gebruikers toegang nodig tot elk cluster in azure HDInsight.These larger enterprises need multiuser access to each cluster in Azure HDInsight.

HDInsight is afhankelijk van een populaire ID-provider--Active Directory--op een beheerde manier.HDInsight relies on a popular identity provider--Active Directory--in a managed way. Door HDInsight te integreren met Azure Active Directory Domain Services (Azure AD DS), kunt u toegang krijgen tot de clusters met behulp van uw domein referenties.By integrating HDInsight with Azure Active Directory Domain Services (Azure AD DS), you can access the clusters by using your domain credentials.

De virtuele machines (Vm's) in HDInsight zijn lid van een domein dat is gekoppeld aan het gegeven domein.The virtual machines (VMs) in HDInsight are domain joined to your provided domain. Alle services die worden uitgevoerd op HDInsight (Apache Ambari, Apache Hive server, Apache zwerver, Apache Spark Thrift server en anderen), werken dus probleemloos voor de geverifieerde gebruiker.So, all the services running on HDInsight (Apache Ambari, Apache Hive server, Apache Ranger, Apache Spark thrift server, and others) work seamlessly for the authenticated user. Beheerders kunnen vervolgens krachtige autorisatie beleidsregels maken met behulp van Apache zwerver om op rollen gebaseerd toegangs beheer te bieden voor bronnen in het cluster.Administrators can then create strong authorization policies by using Apache Ranger to provide role-based access control for resources in the cluster.

HDInsight integreren met Active DirectoryIntegrate HDInsight with Active Directory

Open-Source Apache Hadoop is afhankelijk van het Kerberos-protocol voor verificatie en beveiliging.Open-source Apache Hadoop relies on the Kerberos protocol for authentication and security. Daarom worden HDInsight-cluster knooppunten met Enterprise Security Package (ESP) gekoppeld aan een domein dat wordt beheerd door Azure AD DS.Therefore, HDInsight cluster nodes with Enterprise Security Package (ESP) are joined to a domain that's managed by Azure AD DS. Kerberos-beveiliging is geconfigureerd voor de Hadoop-onderdelen op het cluster.Kerberos security is configured for the Hadoop components on the cluster.

De volgende zaken worden automatisch gemaakt:The following things are created automatically:

  • Een service-principal voor elke Hadoop-componentA service principal for each Hadoop component
  • Een machine-principal voor elke computer die lid is van het domeinA machine principal for each machine that's joined to the domain
  • Een organisatie-eenheid (OE) voor elk cluster voor het opslaan van deze service-en machine-principalsAn Organizational Unit (OU) for each cluster to store these service and machine principals

Als u wilt samenvatten, moet u een omgeving instellen met:To summarize, you need to set up an environment with:

  • Een Active Directory domein (beheerd door Azure AD DS).An Active Directory domain (managed by Azure AD DS). De domein naam moet 39 tekens of minder zijn om te kunnen werken met Azure HDInsight.The domain name must be 39 characters or less to work with Azure HDInsight.
  • Secure LDAP (LDAPS) ingeschakeld in azure AD DS.Secure LDAP (LDAPS) enabled in Azure AD DS.
  • De juiste netwerk verbinding van het virtuele HDInsight-netwerk naar het virtuele netwerk van Azure AD DS als u hiervoor afzonderlijke virtuele netwerken kiest.Proper networking connectivity from the HDInsight virtual network to the Azure AD DS virtual network, if you choose separate virtual networks for them. Een VM in het virtuele netwerk van HDInsight moet over een regel van het gezichts vermogen van Azure AD DS beschikken via de peering van het virtuele netwerk.A VM inside the HDInsight virtual network should have a line of sight to Azure AD DS through virtual network peering. Als HDInsight en Azure AD DS in hetzelfde virtuele netwerk zijn geïmplementeerd, wordt de verbinding automatisch gegeven en is er geen verdere actie nodig.If HDInsight and Azure AD DS are deployed in the same virtual network, the connectivity is automatically provided, and no further action is needed.

Verschillende domein controllers instellenSet up different domain controllers

HDInsight ondersteunt momenteel alleen Azure AD DS als de hoofd domein controller die door het cluster wordt gebruikt voor Kerberos-communicatie.HDInsight currently supports only Azure AD DS as the main domain controller that the cluster uses for Kerberos communication. Maar andere complexe Active Directory-instellingen zijn mogelijk, zolang een dergelijke installatie leidt tot het inschakelen van Azure AD DS voor HDInsight-toegang.But other complex Active Directory setups are possible, as long as such a setup leads to enabling Azure AD DS for HDInsight access.

Azure Active Directory Domain ServicesAzure Active Directory Domain Services

Azure AD DS biedt een beheerd domein dat volledig compatibel is met Windows Server Active Directory.Azure AD DS provides a managed domain that's fully compatible with Windows Server Active Directory. Micro soft zorgt voor het beheren, patchen en bewaken van het domein in een configuratie met hoge Beschik baarheid (HA).Microsoft takes care of managing, patching, and monitoring the domain in a highly available (HA) setup. U kunt uw cluster implementeren zonder dat u zich zorgen hoeft te maken over het onderhouden van domein controllers.You can deploy your cluster without worrying about maintaining domain controllers.

Gebruikers, groepen en wacht woorden worden gesynchroniseerd vanuit Azure AD.Users, groups, and passwords are synchronized from Azure AD. De eenrichtings synchronisatie van uw Azure AD-exemplaar naar Azure AD DS stelt gebruikers in staat om zich met dezelfde bedrijfs referenties aan te melden bij het cluster.The one-way sync from your Azure AD instance to Azure AD DS enables users to sign in to the cluster by using the same corporate credentials.

Zie HDInsight-clusters met ESP configureren met behulp van Azure AD DSvoor meer informatie.For more information, see Configure HDInsight clusters with ESP using Azure AD DS.

On-premises Active Directory of Active Directory op IaaS Vm'sOn-premises Active Directory or Active Directory on IaaS VMs

Als u een on-premises Active Directory-exemplaar of meer complexe Active Directory-instellingen voor uw domein hebt, kunt u deze identiteiten synchroniseren met Azure AD met behulp van Azure AD Connect.If you have an on-premises Active Directory instance or more complex Active Directory setups for your domain, you can sync those identities to Azure AD by using Azure AD Connect. Vervolgens kunt u Azure AD DS inschakelen op die Active Directory Tenant.You can then enable Azure AD DS on that Active Directory tenant.

Omdat Kerberos afhankelijk is van wacht woord-hashes, moet u wachtwoord hash-synchronisatie inschakelen op Azure AD DS.Because Kerberos relies on password hashes, you must enable password hash sync on Azure AD DS.

Als u Federatie gebruikt met Active Directory Federation Services (AD FS), moet u wachtwoord hash-synchronisatie inschakelen. (Zie deze videovoor een aanbevolen installatie.) Wachtwoord hash Sync helpt bij herstel na nood gevallen in geval van een storing in uw AD FS-infra structuur en biedt ook een bescherming tegen beveiligings problemen.If you're using federation with Active Directory Federation Services (AD FS), you must enable password hash sync. (For a recommended setup, see this video.) Password hash sync helps with disaster recovery in case your AD FS infrastructure fails, and it also helps provide leaked-credential protection. Zie enable password hash sync with Azure AD Connect Sync(Engelstalig) voor meer informatie.For more information, see Enable password hash sync with Azure AD Connect sync.

Het gebruik van on-premises Active Directory of Active Directory op IaaS Vm's alleen, zonder Azure AD en Azure AD DS, is geen ondersteunde configuratie voor HDInsight-clusters met ESP.Using on-premises Active Directory or Active Directory on IaaS VMs alone, without Azure AD and Azure AD DS, isn't a supported configuration for HDInsight clusters with ESP.

Als Federatie wordt gebruikt en wacht woord-hashes correct worden gesynchroniseerd, maar er verificatie fouten optreden, controleert u of Cloud wachtwoord verificatie is ingeschakeld voor de Power shell-service-principal.If federation is being used and password hashes are synced correctly, but you are getting authentication failures, check if cloud password authentication is enabled for the PowerShell service principal. Als dat niet het geval is, moet u een hrd-beleid (Home realm Discovery) instellen voor uw Azure AD-Tenant.If not, you must set a Home Realm Discovery (HRD) policy for your Azure AD tenant. Het HRD-beleid controleren en instellen:To check and set the HRD policy:

  1. Installeer de preview Azure AD Power shell-module.Install the preview Azure AD PowerShell module.

    Install-Module AzureAD
    
  2. Verbinding maken met behulp van de referenties van de globale beheerder (Tenant beheerder).Connect using global administrator (tenant administrator) credentials.

    Connect-AzureAD
    
  3. Controleer of de Microsoft Azure PowerShell Service-Principal al is gemaakt.Check if the Microsoft Azure PowerShell service principal has already been created.

    Get-AzureADServicePrincipal -SearchString "Microsoft Azure Powershell"
    
  4. Als deze niet bestaat, maakt u de Service-Principal.If it doesn't exist, then create the service principal.

    $powershellSPN = New-AzureADServicePrincipal -AppId 1950a258-227b-4e31-a9cf-717495945fc2
    
  5. Maak en koppel het beleid aan deze service-principal.Create and attach the policy to this service principal.

     # Determine whether policy exists
     Get-AzureADPolicy | Where {$_.DisplayName -eq "EnableDirectAuth"}
    
     # Create if not exists
     $policy = New-AzureADPolicy `
         -Definition @('{"HomeRealmDiscoveryPolicy":{"AllowCloudPasswordValidation":true}}') `
         -DisplayName "EnableDirectAuth" `
         -Type "HomeRealmDiscoveryPolicy"
    
     # Determine whether a policy for the service principal exist
     Get-AzureADServicePrincipalPolicy `
         -Id $powershellSPN.ObjectId
    
     # Add a service principal policy if not exist
     Add-AzureADServicePrincipalPolicy `
         -Id $powershellSPN.ObjectId `
         -refObjectID $policy.ID
    

Volgende stappenNext steps