0894-如何在Kerberos环境下用Ranger给HDFS授权

1.文档编写目的

Apache Ranger通过用户界面管理访问控制，以确保跨Cloudera Data Platform（CDP）组件进行一致的策略管理。使用Ranger，可以为特定资源（HDFS，HBase，Hive等）创建服务，并将访问策略添加到这些服务中。并且可以基于资源和标签来定制策略，以此来管理访问控制。本文档将介绍在Kerberos环境下使用Ranger为HDFS授权。

2.使用Ranger给HDFS授权

2.1.准备测试用户

1.在集群所有节点创建用户user1（如果部署了OpenLDAP则使用相关命令添加ldap用户）

2.在Kerberos中添加用户user1

3.在Ranger页面查看用户和用户组已经自动同步

4.使用用户user1对测试路径/ranger_test进行写操作如下图，没有权限：

2.2.进入Ranger Admin Web UI进行授权操作

1.使用管理员登陆，选择HDFS服务

2.点击添加策略按钮

3.填写策略相关信息

4.填写完成后保存策略，在策略列表可以看到添加策略成功

2.3.验证Ranger的授权操作

1.使用用户user1登陆Kerberos

2.验证HDFS权限

验证权限无误如上图，可以在Ranger的审计页面查看到相关日志，如下：