0811-7.1.3-如何使用Ranger给HDFS授权

Fayson

发布于 2020-09-22 11:18:44

1.8K0

发布于 2020-09-22 11:18:44

文章被收录于专栏：Hadoop实操Hadoop实操

文档编写目的

本篇文章Fayson主要介绍如何使用Ranger 给HDFS 授权。

文档概述

1.介绍CDP7.1.3 中Ranger 中HDFS 默认权限策略

2.使用Ranger 给HDFS 设置权限策略并验证

测试环境

1.操作系统Redhat7.6

2.CDP DC7.1.3

Ranger中HDFS默认权限策略

使用admin用户登录http://cdp02.fayson.com:6080 页面，点击cm_hdfs 进入该页面

在该页面中可以看到默认有两个策略，第一个是hdfs 用户的策略，默认拥有所有目录所有权限，rangerlookup 拥有所有目录读的权限。

第二个策略是keyadmin 用户拥有/ranger/audit/kms 目录的所有权。这两个策略是CDP安装后自带的策略，建议不要随意修改这两个用户的权限策略。

使用Ranger给HDFS设置权限策略并验证

3.1HDFS授权

在上面我们介绍了hdfs 用户拥有所有目录的权限如果还需要设置一个同样权限或者是所有目录的权限。需要在该策略中继续添加其他权限策略，因为相同目录的策略只能有一个。

首先我们添加一个用户，fayson 这里添加使用的脚本所有节点添加了一个fayson用户。

然后在HDFS中勾选 Enable Ranger Authorization ，并保存重启生效

在没给权限之前验证如下：

设置fayson 拥有所有目录读写的权限，设置需要在all-path 策略中新增一个权限条件。正确的做法如下：

保存策略后，点击查看

不能如下新增一个策略，会提示相同的资源已经创建了一个策略[all-path]，错误的做法如下：

然后进行验证,成功创建

3.2HDFS多级授权以及拒绝条件策略

多级授权验证，首先创建两个本地测试用户，testuser1 、testuser2，并且在Ranger 页面创建Ranger 登录用户关联组（ldap 用户无需进行该操作即可使用用户密码登录）

登录Ranger，可以看到User Source 时External。由于本地Linux 用户默认无法同步密码，需在Settings > Users 中将默认同步的Linux 删除，然后手动关联组重建。

点击右上角的红色删除按钮删除后，然后点击Add New User 。进行如下操作，密码至少为包含英文和字母的8个字母，选择角色为User，并且选择关联组分别为testuser1、和testuser2。testuser2 步骤基本一致，省略。

手动创建好后用户显示如下，User Source 显示为Internal在当前登录时可以看到组件的权限策略，但是不能添加任何策略，如果尝试添加策略时保存会提示如下错误

当前testuser1和testuser2 均无hdfs 中 /test 目录的写权限

然后通过Ranger admin 用户给testuser1 /test 目录all 权限，并委派admin权限，也就是勾选Delegate Admin，再由testuser1 给testuser2 授权进行验证。

验证testuser1 权限，并创建接下来要验证的权限的目录，为了避免HDFS 本身的权限干扰，这里将所有的目录权限设置为700

Allow Conditions策略设置以及验证

具体策略设置如下：

验证如下：

Exclude from Allow Conditions 策略验证，这里由于/test/Exclude 目录本身testuser2 是没有读写权限的，所以在Allow Conditions中给了所有权限，但是在Exclude from Allow Conditions 排除了读权限，在这种情况下，testuser2 权限是有写的权限但是没有读的权限，也证实了Exclude from Allow Conditions策略已生效以及拒绝策略优先的设计逻辑:

Deny 策略验证，这里与Exclude from Allow 策略有些类似，/test/Deny 目录本身testuser2没有任何权限，在Allow Conditions 中给了所有权限用于验证，在Deny Conditions中设置拒绝读权限。同样证实Deny 策略已生效以及拒绝策略优先的设计逻辑