操作场景

当不同的两个Manager系统下安全模式的集群需要互相访问对方的资源时，管理员可以设置互信的系统，使外部系统的用户可以在本系统中使用。

每个系统用户安全使用的范围定义为“域”，不同的Manager系统需要定义唯一的域名。跨Manager访问实际上就是用户跨域使用。

对系统的影响

• 配置跨集群互信后，外部系统的用户可以在本系统中使用，请管理员根据企业业务与安全要求，定期检视Manager系统中用户的权限。
• 配置跨集群互信时需要停止所有集群，会造成业务中断。
• 配置跨集群互信后，互信的集群中均会增加Kerberos内部用户“krbtgt/本集群域名@外部集群域名”、“krbtgt/外部集群域名@本集群域名”，用户不能删除。密码默认为“Admin@123”，请管理员根据企业安全要求，及时且定期修改密码，需同时修改互信系统中4个用户且密码保持一致。具体请参见修改组件运行用户密码。修改密码期间可能影响跨系统业务应用的连接。
• 配置跨集群互信后，各个集群都需要重新下载并安装客户端。
• 配置跨集群互信后，验证配置后是否可以正常工作，且如何使用本系统用户访问对端系统资源，请参见配置跨集群互信后的用户权限。

前提条件

• 管理员已明确业务需求，并规划好不同系统的域名。域名只能包含大写字母、数字、圆点（.）及下划线（_），且只能以字母或数字开头。例如“DOMAINA.HW”和“DOMAINB.HW”。
• 配置跨集群互信前，两个Manager系统的域名必须不同。
• 配置跨集群互信前，两个集群中不能存在有相同的主机名，也不能存在相同的IP地址。
• 配置互信的两个集群系统时间必须一致，且系统上的NTP服务必须使用同一个时间源。
• 配置互信的两个集群系统内所有集群全部组件的运行状态均为“良好”。

操作步骤

• 登录其中一个FusionInsight Manager。
• 在主页中停止所有集群。

  单击主页上待操作集群名称后的，单击“停止”，输入管理员密码后在弹出的“停止集群”窗口中单击“确定”，等待集群停止成功。

• 选择“系统 > 权限 > 域和互信”。
• 修改配置参数“互信对端域”。

  表1 相关参数

  参数名	描述
  “realm_name”	填写外部系统的域名。
  “ip_port”	填写外部系统的KDC地址。 参数值格式为：外部系统集群Kerberos服务部署的节点IP地址:端口。如果是双平面组网，需填写业务平面IP地址。 部署主备Kerberos服务时IP地址使用逗号分隔。端口值可通过查看KrbServer服务的“kdc_ports”参数获取，默认值为“21732”。 例如，Kerberos服务部署在10.0.0.1和10.0.0.2上，则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。

  说明：

  如果需要配置与多个系统的互信关系，请单击添加新项目，并填写参数值。最多支持16个系统。删除多余的配置请单击。

• 单击“确定”。
• 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置。

  sh ${BIGDATA_HOME}/om-server/om/sbin/restart-RealmConfig.sh

  提示以下信息表示命令执行成功。

  Modify realm successfully. Use the new password to log into FusionInsight again.

  重启后部分主机与服务可能无法访问并触发告警，执行“restart-RealmConfig.sh”后大约需要1分钟自动恢复。

• 登录FusionInsight Manager，启动所有集群。

  单击主页上待操作集群名称后的，单击“启动”，在“启动集群”窗口单击“确定”，等待集群启动成功。

• 登录另外一个系统的FusionInsight Manager，重复以上操作。