1.文档编写目的
Apache Ranger通过用户界面管理访问控制,以确保跨Cloudera Data Platform(CDP)组件进行一致的策略管理。使用Ranger,可以为特定资源(HDFS,HBase,Hive等)创建服务,并将访问策略添加到这些服务中。并且可以基于资源和标签来定制策略,以此来管理访问控制。本文档将介绍在Kerberos环境下使用Ranger为HDFS授权。
2.使用Ranger给HDFS授权
2.1.准备测试用户
1.在集群所有节点创建用户user1(如果部署了OpenLDAP则使用相关命令添加ldap用户)
2.在Kerberos中添加用户user1
3.在Ranger页面查看用户和用户组已经自动同步
4.使用用户user1对测试路径/ranger_test进行写操作如下图,没有权限:
2.2.进入Ranger Admin Web UI进行授权操作
1.使用管理员登陆,选择HDFS服务
2.点击添加策略按钮
3.填写策略相关信息
4.填写完成后保存策略,在策略列表可以看到添加策略成功
2.3.验证Ranger的授权操作
1.使用用户user1登陆Kerberos
2.验证HDFS权限
验证权限无误如上图,可以在Ranger的审计页面查看到相关日志,如下:
