权限管理ranger

参考：

https://help.aliyun.com/document_detail/66410.html?spm=5176.11065259.1996646101.searchclickresult.1603776cRVFb03

 

Apache Ranger提供集中式的权限管理框架，可以对Hadoop生态中的HDFS/Hive/YARN/Kafka/Storm/Solr等组件进行细粒度的权限访问控制，并且提供了Web UI方便管理员进行操作。

 

 

Ranger Admin
用户可以创建、更新安全访问策略，这些策略被存储在数据库中。各个组件的Plugin定期对这些策略进行轮询。Ranger Plugins

Plugin嵌入在各个集群组件的进程里，是一个轻量级的Java程序。例如，Ranger对Hive的组件，就被嵌入在Hiveserver2里。这些Plugin从Ranger Admin服务端拉取策略，并把它们存储在本地文件中。当接收到来自组件的用户请求时，对应组件的plugin会拦截该请求，并根据安全策略对其进行评估。

User UserSync
Ranger提供了一个用户同步工具，可以从Unix或者LDAP中拉取用户和用户组的信息。这些用户和用户组的信息被存储在Ranger Admin的数据库中，可以在定义策略时使用。

 

 

 

使用:

为超级管理员airflow赋权：

在ranger 中的hive中加入root policy, url policy

在hdfs中加入/ 的poclicy 

 

你如果需要自动ldap同步，时间1小时，ranger自己的配置就可以实现的，不需要自己重启
/etc/ecm/ranger-usersync-conf/ranger-ugsync-site.xml ，这个文件把ranger.usersync.enabled改成true，ranger.usersync.sleeptimeinmillisbetweensynccycle设置成3600000

设置的值小于3600000，也就是1小时，会被重置为1小时，因为ranger代码里写死了，最小的同步间隔是1小时