Ranger集成Kerberos
1. 概述
当前ranger版本为ranger-1.2.0
2. 生成用户主体
在kerberos服务器生成用于ranger的用户主体:
root@~:/# kadmin.local kadmin.local: addprinc -randkey http/node3@EXAMPLE.COM kadmin.local: addprinc -randky root/node3@EXAMPLE.COM kadmin.local: ktadd -norandkey -kt rangadmin.keytab http/node3@EXAMPLE.COM root/node3@EXAMPLE.COM kadmin.local: quit
这里用于ranger的用户主体为root/node3@EXAMPLE.COM和http/node3@EXAMPLE.COM,其中root是启动ranger的用户,http为通信协议,node3为ranger服务器。接着,拷贝rangeradmin.keytab到ranger admin服务器
3. 修改配置
修改ranger admin的install properties 文件
主要修改以下几项配置:
#------------ Kerberos Config ----------------- spnego_principal=HTTP/node3@EXAMPLE.COM spnego_keytab=/data/ranger/ranger-1.2.0-SNAPSHOT-admin/rangadmin.keytab admin_principal=rangadmin/node3@EXAMPLE.COM admin_keytab=/data/ranger/ranger-1.2.0-SNAPSHOT-admin/rangadmin.keytab lookup_principal=rangadmin/node3@EXAMPLE.COM lookup_keytab=/data/ranger/ranger-1.2.0-SNAPSHOT-admin/rangadmin.keytab hadoop_conf=/data1/hadoop/hadoop/etc/hadoop/
4. 初始化
修改完配置以后,重新初始化./setup.sh和./set_globals.sh
5. 插件配置
5.1. hdfs插件配置
hdfs插件创建service: hdfsRepo的参数Authentication Type选择kerberos类型,如下:
username: test password: test namenode url: hdfs://node214:8020,hdfs://node215:8020 Authorization Enabled: yes Authentication Type: kerberos hadoop.security.auth_to_local: default dfs.datanode.kerberos.principal: xiaobai/_HOST@EXAMPLE.COM dfs.namenode.kerberos.principal: xiaobai/_HOST@EXAMPLE.COM dfs.journalnode.kerberos.principal: xiaobai/_HOST@EXAMPLE.COM RPC Protection Type: authentication policy.download.auth.users: test
注:
这里的dfs.datanode.kerberos.principal、dfs.namenode.kerberos.principal、dfs.journalnode.kerberos.principal需要跟hdfs-site.xml配置的一样
5.2. hive插件配置
hive插件创建service: hivedev的参数jdbc.url填写格式:
jdbc:hive2://node3:10000/;principal=root/node3@EXAMPLE.COM
principal=root/node3@EXAMPLE.COM为hive-site.xml中的配置项:hive.server2.authentication.kerberos.principal
插件编辑内容如下:
username: test password: test jdbc.driverClassName: org.apache.hive.jdbc.HiveDriver jdbc.url: jdbc:hive2://node215:10000;principal=xiaobai/_HOST@EXAMPLE.COM policy.download.auth.users: test
5.3. 其他插件配置
ranger每一个插件开启kerberos后,拉取策略到本地需要在ranger-admin的web页面创建service时增加如下配置项,例如:
policy.download.auth.users hdfs
hdfs用户为hdfs组件的启动用户
注:
如果不配置,就没有权限拉取策略,插件会集成失败
6. 参考资料
https://www.cnblogs.com/yjt1993/p/11888044.html
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?