问题描述 按照我们之前的配置,在CDH7.1.1上为Ranger集成OpenLDAP认证这边文章中,我们为Ranger集成了OpenLDAP认证,刚开始给Hive、HDFS、HBase授权的时候,没发现有什么毛病...,ldap用户都能正常登录和同步。...后来使用Ranger API给用户批量授权时,将大量用户放在同一用户组里,比较好管理。这时我们才发现ldap的用户组没有被Ranger同步过来。...但是我们发现etl_user用户组却没有被同步过来。...问题分析 仔细查看下cloudera官网,发现ranger的ldap用户组配置有误,需要补充如下 修改配置,重启Ranger,发现还是无法同步ldap用户组。
本篇文章主要介绍如何为CDP-DC平台上的Ranger集成FreeIPA提供的LDAP用户。...用户同步,文件系统同步,和LDAP用户同步。...输入LDAP中admin用户和密码,进入到Ranger的管理界面: ? Ranger可以顺利登陆,说明Ranger系统集成了LDAP的用户。 ?...从上图可以看到,superuser存在Ranger的用户中,对应的组为ipausers,这是freeipa的组。...总结 提供CM将Ranger集成FreeIPA的LDAP,这个整个权限管理系统可以使用一套用户管理体系,减少了用户同步的维护操作。
可以有效的解决众多网络服务的用户账户问题,规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完整性。...使用场景 有两个系统A,B;需要把A系统创建的用户同步到B中,而B是个apache 开源项目,此时需要借助LDAP来解决。...首先在A中建用户的同时,同步更新到LDAP中,然后B系统从LDAP中同步到自己的系统中,这样就实现了A中的用户到B系统的同步。...cn,gidNumber,homeDirectory,uid,uidNumber posixGroup Linux用户组 cn,gidNumber - Entry必须仅包含一个Structural类型的...LDAP 功能模型 描述LDAP 协议可以采用的相关操作,来访问存储在目录树中的数据,可以将操作分 成三组: (1) 更新操作 包括添加,删除,重命名,修改Entry (2) Interrogation
Ranger同步Linux用户同步Linux中的用户需要用到RangerUsersync模块,这个模块需要单独安装,主要可以将Linux机器上的用户和组信息同步到Ranger中管理。...://node1:6080#配置同步用户的周期(分钟)SYNC_INTERVAL = 1#配置usersync进程的操作用户及组unix_user=rootunix_group=root#设置Usersync...6)停止usersync模块[root@node1 software]# ranger-usersync stop二、同步用户查看1)登录Ranger查看同步用户当启动usersync模块之后,会自动同步当前...Linux系统中的用户,注意:这里只会同步除了root和虚拟用户外的用户(UID和GID号小的不同步):图片2)同步用户执行如下命令,在linux中添加新的用户:[root@node1 ~]# useradd...zhangsan[root@node1 ~]# passwd zhangsan输入密码:zhangsan等待1分钟,查看Ranger中同步的用户如下:图片
---- 1 文档编写目的 本文主要讲述LDAP用户组信息异常导致Sentry授权失效问题分析及解决办法。...问题解决 3.1 核对LDAP Server信息 3.2 清除用户缓存 4....3 问题解决 3.1 核对LDAP Server信息 LDAP/ADServer通过sssd服务对Client进行用户同步,需要确认只是Client端用户信息异常还是Server端信息异常,经过核对,...5、LDAP用户组信息正常后,再次通过问题用户“80040151”访问组2(bj1164)的HiveServer2,查询表数据,结果正常。...4 总结 1、Sentry基于用户组授权,LDAP用户组信息缺失会导致Sentry授权异常。 2、如果sssd进程僵死,清除用户缓存后,Client端无法正常从Server端同步用户信息。 ----
文档编写目的 在企业的生产环境中大多使用了OpenLDAP来进行用户的管理,因此本篇文章主要介绍如何在CDP DC7.0.3集群上为Ranger集成RedHat7的OpenLDAP,集成只针对使用LDAP...测试环境 1.操作系统Redhat7.6 2.集群版本CDP DC7.0.3 3.OpenLDAP在集群所在服务器已部署 4.使用root用户操作 配置Ranger集成LDAP认证 1.进入Ranger...Ranger集成LDAP验证 3.1 使用OS用户登陆Ranger 1.在集群内三个节点创建OS测试用户,并指定密码123456 ? ? 2.使用该测试用户登陆Ranger ?...总结 1.本文档的Ranger集成LDAP主要是针对使用LDAP用户来登陆Ranger的Web UI,集成后LDAP用户登陆Ranger都是普通权限,并没有管理员的权限。...2.集成后登陆Ranger的LDAP用户会自动同步到Ranger的用户列表,使用管理员登陆后可以查看,如下图: ?
SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。...集成sssd 所有节点安装相关服务 yum -y install openldap-clients sssd authconfig nss-pam-ldapd 将OpenLDAP服务器的/etc/openldap....macro.com id_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://cdh1.macro.com...(etl_user) gid=50001(etl_user) groups=50001(etl_user) OpenLDAP与SSH集成 1.修改配置文件/etc/ssh/sshd_config,使ssh...5.重启sshd服务 systemctl restart sshd 至此就完成了OpenLDAP与SSH的集成。
很多公司在生产环境中会用OpenLDAP来进行用户的管理。...集成OpenLDAP。...环境准备: 操作系统为RedHat7.6 已安装OpenLDAP 集群版本为CDH7.1.1 配置Ranger集成LDAP 首先进入Ranger服务,点击配置选项,搜索auth,在Admin Authentication...到这里配置完成,重启集群以生效 此时便可以使用ldap帐号登录ranger,我们之前在LDAP中添加了测试帐号test,密码为123456 集成LDAP后,登陆Ranger的LDAP用户会自动同步到Ranger...的用户列表,使用管理员登陆后便可以查看 ?
,集成LDAP目录服务,从而限制用户登录Web界面后的权限 Apache Ranger是其中功能最强大、使用最广泛的授权组件。...很多外部第三方应用程序都需要: 与CDP组件集成 企业级集中式信息管理 开箱即用的安全工具 满足上述条件的主流技术是LDAP目录服务。...1.2.4 Kerberos+LDAP目录服务 Cloudera 建议通过Kerberos进行身份验证,然后通过基于目录服务的用户组进行授权。...每个用户界面都可以通过LDAP协议与目录服务集成,以进行身份认证和授权。 但这样做的缺点是,用户每次使用时都需要输入密码。...Knox可以与Cloudera集群中的所有Web UI集成。出于授权目的,UI和目录服务之间会在用户组映射方面进行一些后台集成,这极大提升了用户的使用体验。
ACL 由一组 ACL 条目组成,每个条目命名一个特定的用户或组,并授予或拒绝指定用户或组的读取、写入和执行权限。...使用 Ranger 授权模型 如果禁用 SBA 并仅使用 Ranger 授予不在 sales 组中的特定用户在 sales-report 数据库中创建外部表的权限,则该用户可以登录并创建数据库。...在 JDBC 模式下读取托管表会强制实施 Ranger 授权,包括细粒度功能,例如列映射。在 Direct Reader 模式下,Ranger 和 HMS 集成提供授权。...外部表查询通过 HMS API,它也与 Ranger 集成。如果您不使用 HWC,则与 Ranger 集成的 Hive 元存储 (HMS) API 会授权外部表访问。...禁用 Spnego 身份验证时会出现此问题。此问题会导致在浏览器上获取客户端的 Kerberos 票证时出现问题。
如果我们只想知道某个用户或者组的权限策略,以通过Search By 这里进行条件筛选 ?...默认展示的为当天的权限策略请求记录,也可以根据上面的条件对用户、组、服务类型、安全域等条件进行筛选查看。 ?...Plugin Status 用于展示Ranger 在每个组件中的Plugin 同步的IP、Host Name以及时间等信息,如果同步状态有问题,在时间栏中会有告警提示 ?...2.4 Setting功能简介 Users/Gourps/Roles 主要用于对Ranger 中所有的用户和组以及角色的信息查看,包括Unix或者LDAP用户。...基于LDAP、File、Unix的用户同步机制,提供了统一的中心化的管理界面,包括策略管理、审计查看、插件管理等功能,相对于Sentry 而言,权限管理明确又易用。
HDFS superuser的操作现在会被Ranger Audit捕获 Ranger audit增强包括: 现在支持表格样式的过滤器 很容易就选择audit过滤器以显示完整的用户访问详细信息 新增一个用于指定...Ranger audits最长保留天数的配置选项 当用户和组从同步源(UNIX、LDAP、AD 或 PAM)中删除时,Usersync服务会更新Ranger。...这样可以确保用户和组及其相关访问权限在从同步源中删除时不会保留在Ranger中。 CM上可以为Ranger配置Maximum Retention Days属性。...用户现在可以在CM中为Ranger配置ranger.audit.solr.config.ttl和ranger.audit.solr.config.delete.trigger参数来更新Solr document...3.Data Warehouse增强 Impala现在支持使用Ranger的行级别权限策略。Row-level filter策略同其他Ranger访问策略相似,可以为特定用户、组和条件设置过滤器。
之前的文章包括,,。...将Hue用户和组与LDAP同步 Hue中有四个LDAP导入和同步选项: LDAP同步操作 描述 添加/同步LDAP用户 一次导入和同步一个用户 同步LDAP用户/组 同步所有组中的用户成员身份 添加/同步...点击同步LDAP用户/组。 ? 4. 选中创建主目录,然后单击同步。 组 ? 导入并同步一个组(与一个或多个用户) 导入和同步组(及其多个用户): 1. 以超级用户身份登录到Hue UI。 2....• Hue管理LDAP用户组的逻辑是独立管理用户和组,在同步用户的时候是不会将用户的组信息同步。...• 在Hue集成LDAP的时候有勾选“登录时创建LDAP用户”,所以我们不需要先登录Hue管理员到用户界面去同步LDAP的用户。
比如 hdfs 的某一个路径,hive 的某一个表,对用户级别上的认证也没有实现(需要配合 LDAP 服务集成)。...Ranger Admin 也可以通过独立设置的 SDK 与开放平台进行连接,实现对用户、组以及策略的管理。...用户 由 User 或 Group 表示,User 代表访问资源的用户,Group 代表用户所属的用户组。...,问题排查反馈通过溯源可以快速完成; 拥有独立用户体系,可以去除 Kerberos 用户体系,方便和其他系统集成,同时提供各类接口调用。...因此我们必须要加入 ldap 组件同步用户组信息,这就增加了系统的复杂性,通过改写 Ranger-Admin 代码,在客户端 plugin 获取策略时将组权限赋予用户,实现了组策略功能。
此次,EasyMR 通过集成第三方的安全管控服务 Kerberos、Ldap 和 Ranger 分别对大数据集群进行用户安全认证、访问用户管理以及用户数据权限管控。...如图:EasyMR 在对 Kerberos 和 Ldap 应用基本的部署、服务管理、服务监控等基础功能外,增加了对 Ldap 用户信息的管理,拥有了用户信息查看,用户或用户组信息过滤,用户信息新增、修改用户信息等功能...使用者在 EasyMR 页面可以直接通过内嵌 LDAP 连接或者新增 lDAP 连接查看 Ldap 用户信息。以及可以通过用户过滤以及组过滤的方式,查看过滤后的用户信息以及组下的所有用户信息。...在管理了 Ldap 服务后,使用者在 Ldap 中新增一个用户,EasyMR 内部会在 Kerberos 中同步创建一个 Kerberos 用户。...在 EasyMR 服务管理界面,用户可以直接通过点击 Ranger Admin 服务提供的 web 链接信息跳转到对应的 web ui 界面,对 Ldap 用户进行服务权限以及数据权限分配管理。
生产环境中CDH集群需要启用安全认证,在CDH7以后,Ranger被替换成了Ranger,因此启用安全认证的步骤包括:集群安装并启用Kerberos,安装OpenLDAP和客户端,集成sssd和SSH,...Hive、impala、hue集成LDAP,Ranger集成LDAP,这几个步骤我们分成几篇文章都有详细的操作。...本篇文章主要讲解如何安装OpenLDAP和客户端,需要注意的是,CDP中的Hue要求OpenLDAP启用TLS,否则集成Ldap无法同步用户。...cdh1 ~]# ldapsearch -h cdh1.macro.com -b "dc=macro,dc=com" -D "cn=Manager,dc=macro,dc=com" -W 导入基础文件、用户和用户组...前面安装了migrationtools服务,这里可以通过该服务生成OpenLDAP的基础文件、用户和用户组的ldif文件。
Apache Knox 的加入将显著简化了安全访问的配置,用户受益于强大的单点登录。Apache Ranger 将安全策略管理与基于标签的访问控制、强大的审计以及与现有公司目录的集成相结合。...它用于创建和管理策略以访问 CDP 堆栈中所有服务的数据和其他相关对象,并且与早期版本相比具有许多改进: 在 CDP 之前,Ranger 仅在策略中支持用户和组。...然后可以为角色或直接在组或个人用户上设置 Ranger 策略,然后在所有 CDP 服务中一致地实施。...用户组同步,从 UNIX 和 LDAP 同步用户和组成员资格,并由门户存储以进行策略定义 客户通常会部署 SSSD 或类似的此类技术,以便在操作系统中解析用户的组成员身份。...与公司目录集成 创建并保护 Hive 表: 描述 Ranger 策略评估流程 提供如何通过角色为组或用户启用和保护特定 Hive 对象的示例。
1.文档编写目的 Apache Ranger通过用户界面管理访问控制,以确保跨Cloudera Data Platform(CDP)组件进行一致的策略管理。...本文档将介绍在Kerberos环境下使用Ranger为HDFS授权。...2.使用Ranger给HDFS授权 2.1.准备测试用户 1.在集群所有节点创建用户user1(如果部署了OpenLDAP则使用相关命令添加ldap用户) 2.在Kerberos中添加用户user1...3.在Ranger页面查看用户和用户组已经自动同步 4.使用用户user1对测试路径/ranger_test进行写操作如下图,没有权限: 2.2.进入Ranger Admin Web UI进行授权操作...1.使用管理员登陆,选择HDFS服务 2.点击添加策略按钮 3.填写策略相关信息 4.填写完成后保存策略,在策略列表可以看到添加策略成功 2.3.验证Ranger的授权操作 1.使用用户user1
领取专属 10元无门槛券
手把手带您无忧上云