文档编写目的
在企业的生产环境中大多使用了OpenLDAP来进行用户的管理,因此本篇文章主要介绍如何在CDP DC7.0.3集群上为Ranger集成RedHat7的OpenLDAP,集成只针对使用LDAP用户登陆Ranger的Web UI,关于Ranger的安装,请参考之前的文章《0752-7.0.3-如何在CDP DC7.0.3安装Ranger》。
1.操作系统Redhat7.6
2.集群版本CDP DC7.0.3
3.OpenLDAP在集群所在服务器已部署
4.使用root用户操作
配置Ranger集成LDAP认证
1.进入Ranger服务,点击“配置”并搜索“ldap”
2.修改集成LDAP相关的配置
本小节中将集成LDAP时需要修改的相关配置一一列出并介绍配置含义。
下面截图中涉及修改的相关配置如下表:
至此Ranger的配置修改完成,此处配置修改参考官网链接如下:
https://docs.cloudera.com/runtime/7.0.3/security-ranger-authentication-unix-ldap-ad/topics/security-ranger-authentication-ldap-settings.html
3.修改完成后重启服务
Ranger集成LDAP验证
3.1 使用OS用户登陆Ranger
1.在集群内三个节点创建OS测试用户,并指定密码123456
2.使用该测试用户登陆Ranger
如上图所示,OS用户登陆Ranger失败。
3.2 使用LDAP用户登陆Ranger
1.查看测试用的LDAP用户test_ranger,密码为123456
2.使用该测试用户登陆Ranger
如上图所示,LDAP用户登陆成功。
总结
1.本文档的Ranger集成LDAP主要是针对使用LDAP用户来登陆Ranger的Web UI,集成后LDAP用户登陆Ranger都是普通权限,并没有管理员的权限。
2.集成后登陆Ranger的LDAP用户会自动同步到Ranger的用户列表,使用管理员登陆后可以查看,如下图:
3.按照本文档中Ranger的配置集成LDAP,那么官网配置列表中的ranger.ldap.group.searchbase参数可以置空,否则会与其他参数互斥。