CDH集群配置openldap问题

各位好，目前在测试CDH集群中配置openldap作为groupmapping，遇到了一些问题卡住了，所以来请教各位：

首先说明一下配置ldap的最终目的是希望可以有一套集中的用户&用户组的管理，不用在集群中所有服务器都维护系统级别的用户&组，所以各位除了下面要描述的问题，如果有其他思路也请赐教。

目前安装了openldap，并且使用migrationtools将/etc/passwd & /etc/groups中的内容入到了ldap中，然后在控制台中选择将hadoop.security.group.mapping修改为org.apache.hadoop.security.LdapGroupsMapping
并且对HDFS的如下配置进行了修改，“：”后的是修改后的内容：

Hadoop 用户组 进程ping LDAP URL（hadoop.security.group.mapping.ldap.url）：ldap://slave2:389/dc=cdh,dc=com
Hadoop 用户组 进程ping LDAP 绑定用户（hadoop.security.group.mapping.ldap.bind.user）：
uid=ldapadmin,ou=people,dc=cdh,dc=com
Hadoop 用户组 进程ping LDAP 绑定用户密码（hadoop.security.group.mapping.ldap.bind.password）：
这里输入了密码

Hadoop 用户组 进程ping 搜索基础（hadoop.security.group.mapping.ldap.base）：
dc=cdh,dc=com
Hadoop 用户组 进程ping LDAP 用户搜索筛选器（hadoop.security.group.mapping.ldap.search.filter.user）：
(&(objectClass=account)(uid={0}))
Hadoop 用户组 进程ping LDAP 组搜索筛选器（hadoop.security.group.mapping.ldap.search.filter.group）：
(objectClass=posixGroup)
Hadoop 用户组 进程ping LDAP 组成员身份属性（hadoop.security.group.mapping.ldap.search.attr.member）：
member
Hadoop 用户组 进程ping LDAP 组名称属性（hadoop.security.group.mapping.ldap.search.attr.group.name）：
cn

配置完成后，在控制台中重新部署了客户端配置并重启了整个集群，然后再执行hdfs groups测试：
[root@slave2 ~]# hdfs groups
hdfs@CDH.COM :

未显示出组名，在配置中故意将ldap的url写错测试结果一样，没有一点反馈信息，现在感觉无从下手，不知各位是否有调试的思路？

hadoop_beijing 发表于 2015-7-1 21:46
你看一下这个。对你有没有帮助
http://www.cloudera.com/content/cloudera/en/documentation/core/lates ...

我配置的时候就是按照这个进行的，但是没有成功。

我现在通过在操作系统级别配置服务器验证方式为 passwd + ldap，这样实现集群中用户通过ldap统一管理。

有兴趣的话可以参考一下这篇文章：
http://54im.com/openldap/centos- ... 85%8D%E7%BD%AE.html

openldap没用过，先顶一个~~~

楼主是按照什么文档配置的

Alkaloid0515 发表于 2015-7-1 13:42
楼主是按照什么文档配置的

ldap的安装和迁移系统用户是按照：http://segmentfault.com/a/1190000002532332#articleHeader14


然后进行后续配置的时候是按照cloudera cdh的官方安全文档，但是官方文档中主要是以LDAP使用active directory为前提来配置的，对于Openldap的情况文档中只说需要有修改，但没有详细说明= =

1. 添加
<property>   
<name>hadoop.security.group.mapping</name>
<value>org.apache.hadoop.security.LdapGroupsMapping</value>  
</property>  
2.修改
hadoop.security.group.mapping.ldap.bind.user
value换成邮箱试一下
3.修改
hadoop.security.group.mapping.ldap.search.filter.user
在这个value中修改
(&amp;(objectClass=account)(uid={0}))

hadoop_beijing 发表于 2015-7-1 14:47
1. 添加
   
hadoop.security.group.mapping

邮箱？我部署ldpa的时候没用到任何邮箱信息。

blackmoon 发表于 2015-7-1 14:52
邮箱？我部署ldpa的时候没用到任何邮箱信息。

你看一下这个。对你有没有帮助
http://www.cloudera.com/content/cloudera/en/documentation/core/latest/topics/cm_sg_ldap_grp_mappings.html