寻找有关增量同步如何工作的一些说明。我最近将 Ranger/AD 同步配置为关闭增量同步并且用户搜索过滤器为空白。这导致来自 AD 的所有用户都被添加到 Ranger。
这只是作为一个基本案例测试,但是当在 Ambari 中为 Ranger AD 配置添加新的用户搜索过滤器并重新启动 Ranger 服务时,似乎没有进行任何更改(这是我在设置增量同步时所期望的关闭)并且所有 AD 用户仍然可见,而不仅仅是过滤器指定的用户。此时有几个问题:
如果我要进入 Ranger UI 并转到用户和组菜单并手动删除所有 AD 用户和组,然后将用户搜索过滤器添加到 Ranger 配置中,然后重新启动 Ranger 会清除其余用户来自 Ranger 的用户数据库,并在 Ranger 重新启动后仅将 AD 用户留在搜索过滤器中?还有其他方法可以得到这个想要的结果吗?
如果不小心从 Ranger UI 的用户和组菜单中手动删除了 unix 用户,会发生什么情况?他们会在重新启动 Ranger 后重新填充,还是我需要其他方法来修复错误?
从 Apache 电子邮件列表...
一旦用户是组同步到 Ranger DB,删除它们是管理员唯一的手动操作。Ranger 不会根据搜索过滤器的更改自动删除用户和组。但是一旦你清理了用户是组并且重新启动 ranger useryn 应该只根据配置的过滤器拉入用户和组。仅供参考 - 出于测试目的,ranger usersync 支持一个配置“ranger.usersync.policymanager.mockrun”,可以将其设置为 true,以便同步的用户和组不会更新到 ranger DB。https://docs.cloudera.com/HDPDocuments/HDP3/HDP-3.1.4/installing-ranger/content/ranger_install_configure_ranger_user_sync.html
如果从 Ranger UI 中删除用户/组,一旦 ranger 重新启动,这些用户/组将根据同步配置同步到 Ranger DB。
因此,从这些观点来看,请注意,如果默认 HDP / hadoop 用户(例如 hdfs、yarn、livy)在集群中的每台机器上被创建为 unix 用户(例如 HDP 3.1.0 默认执行的操作)并且您手动删除这些Ranger UI 中的用户,一旦 Ranger 重新启动,他们将不会重新出现。也就是说,Ranger 不会同时查看 AD 和本地 unix 用户(也许有办法在配置中更改它?)。因此,您需要做的是将 Ranger 用户同步切换到“unix”,重新启动 Ranger 以让本地 unix 用户同步,然后将配置切换到 AD 并再次重新启动以使 AD 用户进入 Ranger(以及之前同步的 unix 用户应该仍然存在,因为 Ranger 不会根据用户同步配置删除用户)。