Ambari Kerberos Wizard Доверяйте ldaps субъекту альтернативное DNS-имя - PullRequest
0 голосов
/ 30 августа 2018

Я настраиваю kerberos с существующим Active Directory в качестве KDC и у меня возникает проблема с подключением к серверу ldaps. У нас есть кластер серверов для AD. скажем, server1.example.com, server2.example.com, server3.example.com и компания просто использует example.com для подключения. Я настроил интеграцию ldap с amabri для доступа пользователей к порталу через ambari-server setup-ldap, но сделал это без ssl, и я могу использовать ldap: //example.com в качестве сервера ldap, и он отлично работает. Однако с ldaps ldaps: //example.com: 636 не работает. Я получаю сообщение об ошибке в файле ambari-server.log: «java.security.cert.CertificateException: не найдено альтернативное DNS-имя субъекта, соответствующее example.com». Я импортировал сертификат CA и сертификат каждого отдельного сервера в мое хранилище ключей и поместил CA в /etc/pki/ca-trust/source/anchors/activedirectory.pem, но я все еще не могу заставить его работать на example.com , Я могу заставить его работать для server1.example.com и всех остальных по отдельности, но я не могу заставить его работать для имени DNS example.com. У меня нет контроля над созданием сертификата на стороне AD ldaps. Эти сертификаты были подписаны сервером AD, и каждый сервер имеет свой собственный сертификат. Можно ли как-то сказать ambari принять недействительные сертификаты для мастера kerberos или каким-либо другим способом заставить работать более широкое доменное имя? Заранее спасибо за любую помощь.

...