- 综合排序
- 最热优先
- 最新优先
- 来自专栏陈猿解码
ranger插件开发(下)
要在ranger中支持一个新的服务模块的权限校验,可以分为两部分,一部分是在ranger中添加一个服务模块,然后添加该服务的实例并配置对应的权限策略;另一部分就是在真正的服务端开发插件,从ranger中拉取权限策略 【在ranger中添加服务模块】 ---- 在ranger中添加服务模块可以分为3个步骤: 1. ranger,在ranger的web界面,就可以看到我们添加的服务模块了。 RangerBasePlugin ranger插件中最核心的类,负责从ranger拉取策略并缓存,同时对外暴露接口完成资源访问的权限校验。 另外就是,在init方法中,调用父类的init方法,这个时候在插件内部会触发启动线程,向ranger注册并定时从ranger拉取策略。 2.
91120编辑于 2023-02-28 - 来自专栏陈猿解码
ranger插件开发(上)
Apache ranger 是一个集中式的安全管理框架,用户可以登录到ranger的web控制台配置不同的策略,实现对hadoop相关生态组件细粒度的权限控制。 而ranger内部等stack-model实现方式,使得在ranger中支持一个新的服务非常方便。 在ranger中添加一个新的服务,最重要的是对该服务进行描述,包括服务的名称,需要进行权限控制的资源、对资源的访问类型等等。这些都定义在一个配置文件中。本文就来详细说说如何编写这个配置文件。 displayName 在ranger的web界面中显示的名称。 implClass 在ranger admin内部对应的实现类。 label 服务的标签名,对应数据库表中的一个字段。 ,从ranger拉取策略完成具体的鉴权动作。
1.9K50编辑于 2023-02-28 - 来自专栏数据湖
Ranger同步ldap组问题
问题描述 按照我们之前的配置,在CDH7.1.1上为Ranger集成OpenLDAP认证这边文章中,我们为Ranger集成了OpenLDAP认证,刚开始给Hive、HDFS、HBase授权的时候,没发现有什么毛病 后来使用Ranger API给用户批量授权时,将大量用户放在同一用户组里,比较好管理。这时我们才发现ldap的用户组没有被Ranger同步过来。 问题分析 仔细查看下cloudera官网,发现ranger的ldap用户组配置有误,需要补充如下 修改配置,重启Ranger,发现还是无法同步ldap用户组。 : [SSLv2Hello] 2020-09-22 00:38:18,546 INFO org.apache.ranger.authentication.UnixAuthenticationService : valid cookie saved 2020-09-22 00:38:29,254 INFO org.apache.ranger.usergroupsync.UserGroupSync: End
3.3K40发布于 2020-10-16 - 来自专栏程序猿的大杂烩
基于Feign初探Ranger Api
Ranger Api之User管理 在大数据平台之权限管理组件 - Aapche Ranger一文中我们了解了Ranger以及安装部署过程以及Admin可视化界面的使用。 除了可以在可视化的Ranger Admin界面上进行权限、用户等管理外,Ranger还支持通过REST API来完成这些操作。 因为我们如果要开发自己的大数据平台,可能并不会使用Ranger Admin的可视化界面,而是希望在自己的大数据平台界面去操作Ranger。有了Ranger Api的支持,我们就可以轻易实现这一点。 ---- Ranger Api之Policy管理 本小节将介绍使用Policy Api对Ranger上的权限策略进行管理。 com.example.ranger.model.Policy; import com.example.ranger.model.PolicyItem; import com.example.ranger.model.PolicyItemAccess
1.2K11发布于 2020-11-13 - 来自专栏生信修炼手册
cell ranger分析结果详细解读
cell ranger输出结果目录结构如下所示 ├── analysis │ ├── clustering │ ├── diffexp │ ├── pca │ └── tsne ├──
2.6K31发布于 2019-12-19 - 来自专栏陈猿解码
基于ranger的kafka权限控制
【ranger插件安装】 ---- 要使用ranger插件,首先需要对ranger的kafka插件包进行解压缩,然后进入解压缩后的目录,修改安装的配置文件`install.properties`,具体修改的配置项包括 对于ranger也开启kerberos的场景下,即插件需要通过https的方式从ranger服务端拉取策略。 这样,执行完`enable-kafka-plugin.sh`后,配置文件`ranger-policymgr-ssl.xml`会拷贝到正确的位置中,同时配置文件`ranger-kafka-security.xml ranger开启kerberos情况下,客户端拉取策略失败问题 ranger服务端也开启kerberos的情况下,插件去拉取策略的方式不再是http,而是https。 【总结】 ---- 本文介绍了kafka中如何正确配置ranger插件,并基于ranger进行权限控制,以及安装部署使用中容易踩坑的地方。
2.3K30编辑于 2023-02-28 - 来自专栏大数据杂货铺
Ranger Hive-HDFS ACL同步
部署CDP私有云基础版群集时,不会自动设置Ranger RMS服务。您必须分别安装和配置Ranger RMS。 重要配置信息 Ranger RMS通过Ranger Hive策略启用HDFS访问。必须使用HDFS的名称和Hive服务(AKA Repos)来配置Ranger RMS。 在您的安装中,可能为HDFS和Hive创建了多个Ranger服务。这些可以从Ranger Admin Web UI中看到。RMS ACL同步旨在用于特定的一对HDFS和Hive Ranger服务。 默认情况下,Ranger RMS仅跟踪Hive中的外部表。要将Ranger RMS配置为也跟踪托管的Hive表,请将以下配置设置添加到Ranger RMS。 了解Ranger的RMS策略 在较高级别上,Ranger RMS工作流程如下: 将评估HDFS服务的Ranger策略。如果任何策略明确拒绝访问,则拒绝访问。
2.8K20发布于 2021-01-08 - 来自专栏Lansonli技术博客
数据治理(十二):Ranger2.1.0源码编译
Ranger2.1.0源码编译 一、安装git 在后期编译Ranger过程中其中某些模块需要使用到Git,这里还需要安装Git。 Ranger官网没有提供Ranger安装包,这里需要下载Ranger源码进行编译安装,Ranger源码下载地址:https://ranger.apache.org/download.html https ://ranger.apache.org/download.html 这里需要注意,Ranger版本与Hadoop的版本也有对应关系,如果使用Hadoop2.x版本需要下载Ranger1.x版本,如果Hadoop 版本是3.x版本,这里下载Ranger2.x版本。 下载好Ranger源码包之后,这里安装Ranger只需要在一台节点安装即可,我们需要将Ranger安装包上传到该节点进行解压、编译源码,编译步骤如下: 1)上传安装包到node3节点,并解压 [root
1.3K41编辑于 2022-04-28 - 来自专栏大数据杂货铺
Sentry到Ranger—简明指南
Ranger Web UI 也可用于安全密钥管理,使用 Ranger KMS 服务的密钥管理员可以单独登录。Apache Ranger 还提供了非常需要的安全功能,例如开箱即用的列掩码和行过滤。 Sentry到Ranger——一些行为改变 如上所述,Sentry 和 Ranger 是完全不同的产品,在架构和实现上有很大的不同。 CDP Private Cloud Base 中支持基于 Ranger 授权的所有服务都有一个关联的 Ranger 插件。这些 Ranger 插件在客户端缓存访问权限和标签。 Hadoop SQL 中存在额外的细化权限 Hive-HDFS 访问同步与 Ranger 需要部署新服务 Ranger RMS Ranger RMS 连接到 Ranger 使用的同一个数据库 Ranger 要了解有关 Ranger 和相关功能的更多信息,以下是一些有用的资源: Apache Ranger 授权 Apache Ranger 审计 升级到 CDP CDP 知识中心 原文作者:Kiran Anand
2.2K40编辑于 2021-12-08 - 来自专栏陈猿解码
ranger插件的鉴权原理
ranger插件开发的上下两篇文章介绍了如何在ranger中支持一个新的服务,并开发对应的客户端插件。但知其然还要知其所以然,简单的几个接口调用的背后,其内部最终是如何进行权限校验的。 但是对于ranger的一些高级用法:SecurityZone、基于tag的权限校验,则会有对应的类实例。 【鉴权的处理流程】 ---- 鉴权之前,插件先需要初始化,初始化时会启动一个线程定期从ranger服务端拉取策略,每次拉取策略本质上是发送一个rest请求,ranger服务端收到请求后,将具体服务的所有策略信息按 小结一下:本文主要介绍了ranger插件中策略与鉴权相关的实现类,以及鉴权的逻辑流程。在源码的研究过程中,发现其实还有很多小细节,这里没有展开说明。 相关推荐阅读: ---- ranger插件开发(上) ranger插件开发(下)
2.4K10编辑于 2023-02-28 - 来自专栏Hadoop实操
0741-什么是Apache Ranger - 1
这次我选择了Ranger,因为自从Cloudera与Hortonworks合并后,Ranger已确认会取代Sentry。 在开始学习之前,我自己试图搜集一些Ranger相关的资料,但是我发现实际上找不到太多资源。我们订阅了O'Reilly,但是没有Ranger相关的图书和视频。 首先我想对Sentry和Ranger进行一些high level的比较,以了解为什么Sentry会被弃用然后被Ranger替代。我假定你了解Hadoop,CDH或HDP生态的基础知识,以继续本文。 现在,让我们看一下Ranger的功能。同样,根据Apache Ranger的官方文档,Apache Ranger是一个框架,用于在Hadoop平台上启用,监控和管理全面的数据安全性。 以下我们看看Sentry和Ranger的具体区别,以了解为什么Ranger是CDH的未来选择,即CDP。 ? ? ?
1.9K30发布于 2020-02-10 - 来自专栏Lansonli技术博客
数据治理(十四):Ranger同步Linux用户
Ranger同步Linux用户同步Linux中的用户需要用到RangerUsersync模块,这个模块需要单独安装,主要可以将Linux机器上的用户和组信息同步到Ranger中管理。 一、安装RangerUsersync模块RangerUsersync安装步骤如下:1)发送Ranger编译好的“RangerUsersync”安装包到node1节点,并解压#远程发送“ranger-2.1.0 -usersync.tar.gz”安装包到“/software”下[root@node3 ~]# scp /software/apache-ranger-2.1.0/target/ranger-2.1.0 ”文件:[root@node1 ranger-2.1.0-usersync]# vim install.properties#配置 Ranger-Admin的访问地址POLICY_MGR_URL = http -2.1.0-usersync”下,执行脚本“setup.sh”[root@node1 ~]# cd /software/ranger-2.1.0-usersync[root@node1 ranger-
2.9K61编辑于 2022-09-09 - 来自专栏大数据杂货铺
将Hbase ACL转换为Ranger策略
CDP 使用 Apache Ranger 进行数据安全管理。如果您希望利用 Ranger 进行集中安全管理,则需要将 HBase ACL 迁移到Ranger策略。 这可以通过从 Cloudera Manager 访问的 Ranger webUI 来完成。但首先,让我们快速了解用于访问控制的 HBase 方法。 创建 Ranger 策略 在 Cloudera Manager 中,选择 Ranger 服务。 找到将您重定向到 Ranger UI的webUI链接。 登录到 Ranger UI。 以下流程图提供了有关 Ranger 策略评估流程的信息。 3.4 最后点击添加。 虽然 Ranger 中有一个用于批量加载策略的导入功能,但无法以 Ranger 理解的格式(特别是格式化的 JSON/CSV)从 HBase 导出 ACL。
1.5K20发布于 2021-07-02 - 来自专栏skyyws的技术专栏
Impala配置Ranger服务进行权限控制
由于我们内部都是使用的Ranger服务,关于Sentry服务的配置,就不多做介绍。下面主要来讲一下Ranger服务的配置。 Ranger 社区相关JIRA:IMPALA-7916 Impala在新版本中提供了对Ranger的支持,我们可以通过直接配置Ranger的信息,来进行权限的管控。 目前,我们可以直接使用测试的集群进行ranger的配置,具体信息参考:如何配置带Ranger的Impala集群 Ranger服务起来之后,我们就可以通过hostname:6080来进行访问,登陆用户和密码默认是 admin/admin,具体的Ranger配置位于:$RANGER_HOME/ews/webapp/WEB-INF/classes/conf/ranger-admin-site.xml。 ranger-hive-audit.xml、ranger-hive-security.xml和ranger-hive-policymgr-ssl.xml这几个文件; ranger_app_id,该参数测试发现也并没有什么特别的作用
1.8K30编辑于 2022-05-20 - 来自专栏数据库干货铺
大数据安全利器ranger 编译安装
部署准备 ranger: 进入apach官网下载 http://ranger.apache.org/download.html, 本次使用的是ranger1.2.0 ,地址为http://mirror.bit.edu.cn wget http://mirror.bit.edu.cn/apache/ranger/1.2.0/apache-ranger-1.2.0.tar.gz ## 下载maven wget http SUCCESS [ 0.140 s] [INFO] Ranger Examples - Ranger Plugin for SampleApp ...... # 进入target目录 cd /opt/apache-ranger-1.2.0/target/ # 解压ranger-1.2.0-admin.tar.gz tar -zxvf ranger- /ranger-admin-services.sh start /** 正常情况下出现如下结果*/ Starting Apache Ranger Admin Service Apache Ranger
2.1K30发布于 2019-08-23 - 来自专栏Lansonli技术博客
数据治理(十三):Ranger安装与启动
Ranger安装与启动一、Ranger安装启动Ranger的安装这里选择单节点安装即可,后期需要在Ranger中安装Hive权限管理的插件,也需要在有Ranger环境下才能安装此插件,此插件管理Hive Ranger服务[root@node1 conf]# ranger-admin startStarting Apache Ranger Admin ServiceApache Ranger Admin 8)停止Ranger服务#在任意目录下执行以下命令启动Ranger服务[root@node1 conf]# ranger-admin stop二、Ranger WebUI1)访问http://node1 :6080,登录Ranger默认用户名:admin ,默认密码:ranger123456(配置文件中配置)图片登录之后:图片2)WebUI-Ranger管理的服务图片3)WebUI-Ranger审计相关图片 4)WebUI-Ranger安全区相关图片5)WebUI-Ranger设置相关图片
2.4K21编辑于 2022-09-11 - 来自专栏Lansonli技术博客
数据治理(十五):Ranger管理Hive安全
我们可以使用Ranger对Hive数据安全进行管理,这里需要安装Hive插件“ranger-2.1.0-hive-plugin”,此插件只能对jdbc方式连接Hive的请求进行权限管理,不能对hive-cli “ranger-2.1.0-hive-plugin.tar.gz”到node1节点“/software”下: [root@node3 /]# scp /software/apache-ranger-2.1.0 /ranger-2.1.0-hive-plugin.tar.gz 2)配置“install.properties”文件 进入到“/software/ranger-2.1.0-hive-plugin”目录中 ranger-2.1.0-hive-plugin]# enable-hive-plugin.sh 三、配置Ranger连接Hive服务 安装好以上Hive-Plugin之后,重新启动HDFS,启动Hive 如果想要对连接Hive的用户进行表、列权限管理,需要在Ranger中添加对应的Hive服务,才可以使用Ranger通过这个服务配置每个用户对Hive库、表、列权限管理。
4.5K41编辑于 2022-04-28 - 来自专栏大数据杂货铺
使用Ranger对Kudu进行细粒度授权
Ranger插件仅在Java中可用,因为大多数Hadoop生态系统项目(包括Ranger)都是用Java编写的。 使用Ranger设置Kudu 在Cloudera Manager中为Kudu设置Ranger授权非常简单。如果Ranger和Kudu都安装在CDP中,则需要在Kudu的配置中选择Ranger服务。 Cloudera Manager将自动为Kudu配置Ranger,反之亦然。其余的Ranger特定选项无需更改。 在后台,为Kudu创建了几个可自定义的配置文件(ranger-kudu-security.xml,ranger-kudu-policymgr-ssl.xml和ranger-kudu-audit.xml) 要创建您的第一个策略,请登录到Ranger Admin(可通过从Cloudera Manager导航到Ranger服务,然后在该服务的标签导航面板中单击“ Ranger Admin Web UI”来访问它
1.6K10发布于 2021-03-09 - 来自专栏Hadoop实操
0809-7.1.3-Ranger页面功能介绍
文档编写目的 在前面的文章中,Fayson介绍了 《0752-7.0.3-如何在CDP DC7.0.3安装Ranger》 《0741-什么是Apache Ranger - 1》 《0742-什么是Apache Ranger - 2》 《0745-什么是Apache Ranger - 3》 《0801-什么是Apache Ranger - 4 - Resource vs Tag Based Policies》 《0803-什么是Apache Ranger - 5 - Hive Plugin》 本篇文章Fayson主要介绍Ranger 页面的功能点。 Admin UI 或者直接访问 Ranger Admin Server 所在节点的6080端口,输入admin的账号和密码进入Ranger主页 ? 总结 通过对Ranger 页面功能简介可以看出,Ranger 基于策略(Policy-based)的访问权限模型,并且有者通用的策略同步与决策逻辑,便控制插件的扩展接入。
2.1K30发布于 2020-09-04 - 来自专栏Lansonli技术博客
数据治理(十六):Ranger管理HDFS安全
Ranger管理HDFS安全我们还可以使用Ranger对HDFS进行目录权限访问控制。这里需要添加“HDFS-Plugin”插件。 一、安装“HDFS-Plugin”插件安装“HDFS-Plugin”插件步骤如下:1)将编译好的“ranger-2.1.0-hdfs-plugin.tar.gz”发送到node1节点,并解压#将node3 上编译好的HDFS插件发送到node1上[root@node3 ~]# cd /software/apache-ranger-2.1.0/target[root@node3 target]# scp . /ranger-2.1.0-hdfs-plugin.tar.gz 2)配置“install.properties”文件#配置Ranger-Admin访问地址POLICY_MGR_URL=http://node1 -- 以下两项是关于Ranger安全检查配置 --><property><name>dfs.namenode.inode.attributes.provider.class</name><value>org.apache.ranger.authorization.hadoop.RangerHdfsAuthorizer
3.8K41编辑于 2022-09-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号