导语
Ranger是Hadoop平台的集中式安全管理框架,能够为hadoop平台组件提供细粒度的访问控制。通过Ranger, Hadoop管理员能够轻松地管理各种安全策略,包括:访问文件/文件夹,数据库,Hive表,列, Hbase, YARN等。此外,Ranger还能进行审计管理,以及策略分析,从而为Hadoop环境的深层次分析提供支持。
目前,Ranger支持对以下的Hadoop组件:HDFS, HBase, Hive, Yarn, Knox, Storm, Solr, Kafka。
本文主要介绍如何在Ambari环境下安装Ranger,如何配置Ranger使之与LDAP集成,如何通过配置Ranger策略完成访问控制。
1. Ranger介绍
Apache Ranger目前是Apache下的顶级项目,目的是通过制定策略(policies)实现对Hadoop组件的集中式安全管理。用户可以通过Ranager实现对集群中数据的安全访问。
Ranger由三个模块组成:
Ranger portal: 提供给用户进行安全管理的界面
Ranger plugin: 嵌入在需要安全控制的组件进程中,提供两种功能:从Ranger server中把用户配置的安全策略拉取到本地,当用户访问请求到来时,根据安全策略判断该用户是否有权限访问;从本地将用户访问的纪录返回给Ranger服务进行审计。
User group sync: 提供从OS, LDAP, Active Directory拉取用户和用户组的功能。同步到的用户和用户组能够展示在Ranger portal中
2. HDP2.4 Ambari环境下安装Ranger
安装前置条件
必须已经使用Ambari部署Hadoop集群
使用Ambari安装Ranger只能在安装Hadoop之后使用add service的方式将Ranger安装在集群中。因为在使用Ambari部署Hadoop集群时,在service列表中没有Ranger。集群中已经安装了数据库
目前Ranger支持mysql, oracle, postgres, mssql, sqlanywhere等。建议在Ambari环境下使用Ambari server 安装的postgres数据库。在Ambari server上执行
ambari-server setup –jdbc-db={database-type} –jdbc-driver={/jdbc/driver/path}
其中database-type为所用的数据库类型,/jdbc/driver/path为jdbc driver路径。
步骤为:检查/usr/share/java目录下是否有postgres jdbc driver文件 /usr/share/java/postgresql-jdbc.jar。如果没有,从postgres安装目录下拷贝至此目录。
执行
ambari-server setup –jdbc-db=postgres –jdbc-driver=/usr/share/java/postgresql-jdbc.jar
安装Ranger
打开Ambari,在Actions下点击Add Service,在打开的服务列表里,勾选Ranger,点击next
在安装配置页面,Ranger Admin下,
- DB FLAVOR 选择POSTGRES
- Ranger DB host 选择Postgres安装的主机名
- Ranger DB password 输入Postgres DB的密码
- DBA username改为postgres, DBA password输入密码
- JDBC connect string 例如: jdbc:postgresql://ochadoop06.novalocal:5432/postgres
配置完成后,点击Test Connection。如果返回没有权限,一般是因为在postgres的配置里面没有把该机器的访问权限配置。
需要在安装postgres的机器上配置/var/lib/pgsql/data/pg_hba.conf,增加需要访问的机器权限,例如:host all postgres 192.168.1.11/24 ident
然后重启postgres.在Ranger User Info配置下,主要是配置是否从LDAP读取用户组,此项配置可以在安装完成后再进行配置。
在Ranger Audit配置下,主要对Ranger audit log的存放位置进行配置。
如果集群中已经安装了Solr,可以打开Solr选项,ranger.audit.solr.urls为solr core的地址,例如:http://ochadoop06.novalocal:8983/solr/ranger_audits
ranger.audit.solr.username 使用默认,ranger.audit.solr.password输入创建密码。打开HDFS配置,Ranger audit log可以自动保存在HDFS中以便长期保存。Destination HDFS Directory为HDFS保存的地址,例如:hdfs://ochadoop06.novalocal:8020/ranger/audit
打开DB配置,把audit log保存在DB中.
3. Ranger配置
Ranger配置LDAP
Ranger用来获取用户和组的模块叫做User group sync,可以配置获取Unix,LDAP或者AD的用户和组。
Ranger User Info配置
打开Ambari Ranger配置页面里的Ranger User Info选项。
- Enable User Sync 置为 Yes
- Sync Source 选择 LDAP/AD
打开Cmmon Configs
- LDAP/AD URL,输入LDAP URL。例如:ldap://192.168.1.15:389
- Bind Anonymous 置为 No
- Bind User,输入LDAP的管理员用户。例如:cn=root,dc=asiainfo,dc=com
- Bind User Password,输入上面LDAP的管理员密码。
打开User Configs
- Username Attribute,输入cn
- User Object Class,这个根据LDAP配置决定,一般可以配为person,user,或者posixAccount。
- User Search Base,输入ou=People,dc=asiainfo,dc=com
- User Search Filter,输入cn=*
- User Search Scope,输入sub
- User Group Name Attribute,输入memberof。这个根据LDAP配置决定,一般需要LDAP支持memberof属性。
- Group User Map Sync,置为Yes。
打开Group Configs
- Enable Group Sync,置为Yes。
- Group Member Attribute,输入 memberUid。
- Group Name Attribute,输入 cn。
- Group Object Class,输入posixGroup。这个根据LDAP配置决定,需要查看LDAP的group object class。一般为group或者posixGroup。
- Group Search Base,输入ou=Group,dc=asiainfo,dc=com
- Group Search Filter,输入cn=*
Advanced配置
Ranger Settings
- Authentication method,选择LDAP
LDAP Settings
- ranger.ldap.base.dn,设为LDAP的dn,例如:dc=asiainfo,dc=com
- ranger.ldap.group.roleattribute,设为cn
- ranger.ldap.user.dnpattern,设为uid={0},ou=People,dc=asiainfo,dc=com,其中ou=People,dc=asiainfo,dc=com为LDAP 的用户类别。
根据上述配置好后,使用Ambari重启Ranger,打开Ranger界面。在Settings下的的Users/Groups可以查看到已经同步到的LDAP用户和用户组。如果用户和用户组没有同步到,应该是配置的有问题,可以通过Ranger提供的LDAP检查工具进行检查。
- 进入工具目录,/usr/hdp/current/ranger-usersync/ldaptool
- 配置conf/input.properties,其中的参数根据Ambari上配置的Ranger LDAP配置。
- 执行./run.sh -r groups -i conf/input.properties 获取用户组信息,-r users返回用户信息,-r all 返回用户和用户组信息。返回的结果在output/ ldapConfigCheck.log中。
Ranger配置Audit log
Ranger Audit配置
打开Ambari Ranger Configs下的Ranger Audit,- Audit to DB,置为Yes。设置Data base 密码。这样的目的是使Ranger将log存放在DB中。
ranger.audit.source.type
打开Advanced下的Advanced ranger-admin-site,将ranger.audit.source.type设为db。这样的目的是Ranger Admin从DB读取audit log。
Enable Ranger Plug-in
进入Ranger Plugin配置页面,打开需要使用Ranger进行安全控制的组件。例如hdfs,yarn,hive。