问题标签 [apache-ranger]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - 如何通过 REST API 将用户添加到 Apache Ranger
如标题所示,如何通过 REST API 手动将用户添加到 Apache Ranger。
你能发布一个 curl 调用的例子吗?
您能否上瘾地发布一个网址,我可以在其中找到以下文档:
security - 如何在 apache ranger 和 sentry 之间进行选择
从这两个项目提供的 wiki 中,我发现他们似乎做了类似的工作。但必须有一些差异,否则不需要2。
那么有什么区别,有什么实用的建议可以相互选择。
多谢!
hadoop - HDFS 加密:用户:hdfs 不允许在“hdfskey”上执行“DECRYPT_EEK”
我正在尝试在 HDP 2.4 上使用 Ranger KMS 设置 HDFS 加密。
我能够部署和配置 KMS 服务。我创建了一个密钥和一个访问策略来授予 hdfs 用户使用此密钥进行操作的所有权限。
我可以创建一个加密区域
但是,当我尝试将文件放入目录时,出现此错误:
hdfs 用户拥有此密钥的所有权限,包括 DECRYPT_EEK。有谁知道会出什么问题?
hadoop - HBase (Hortonworks) 访问被拒绝异常
我们在 Hortonworks 环境中使用 HBase 作为我们的存储选择。我们有一个节点正在运行,如果一切正常,我们计划升级到多个节点。目前,我们使用 Knox SSO 登录服务。
要访问 HBase 中的数据,我们使用 WebHBase api。通过 Knox SSO 登录可以正常工作。我们用来执行此操作的用户(“testuser”)对 Hbase 具有完全访问权限,在 Ranger 中配置。
但是,当我们通过 Knox 并到达 Hbase 时,出现了问题。不,我们得到用户“root”的异常。为什么它要求用户“root”,而我们想用“testuser”获取数据?显然,我们可以让用户成为“root”并给予完全许可,但这是非常不可取的。我们认为 Ranger/Knox 中有关服务的用户授权肯定存在一些错误。
这是我们通过 Knox 网关访问 webhbase API 时得到的堆栈跟踪:
禁止org.apache.hadoop.hbase.security.AccessDeniedException:org.apache.hadoop.hbase.security.AccessDeniedException:用户'root'权限不足,操作:scannerOpen,tableName:testtable,family:r。在 org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:511) 在 org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:901) 在 org.apache.ranger.authorization .hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:856) 在 org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1267) 在 org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$RegionOperation。调用(RegionCoprocessorHost.java:
745)引起:org.apache.hadoop.hbase.ipc.RemoteWithExtrasException(org.apache.hadoop.hbase.security.AccessDeniedException):org.apache.hadoop.hbase.security.AccessDeniedException:用户'root'权限不足,行动:scannerOpen,tableName:rowphyste,family:r。在 org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:511) 在 org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:901) 在 org.apache.ranger.authorization .hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:856) 在 org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1267) 在 org.apache.hadoop.hbase.regionserver。
我们目前没有在 Knox 拓扑中进行用户映射(即主体映射)。我的 gateway-audit.log 如下所示:
17/05/05 11:58:33 ||aac40856-3c3f-46a5-8b90-970d54bc0a21|audit|WEBHBASE||||access|uri|/gateway/default/hbase/testdatabase/ |不可用|请求方法:GET 17 /05/05 11:58:33 ||aac40856-3c3f-46a5-8b90-970d54bc0a21|审计|WEBHBASE||||访问|uri|/gateway/default/hbase/testdatabase/|成功|响应状态:302 17/05/05 11:58:33 ||5737b75b-9082-44e5-9afd-9675e9c36c43|审计|KNOXSSO||||访问|uri|/gateway/knoxsso/api/v1/websso ?originalUrl=mydomain/gateway/default/hbase/testdatabase/%2A|unavailable|请求方法:GET 17/05/05 11:58:33 ||5737b75b-9082-44e5-9afd-9675e9c36c43|audit|KNOXSSO|testuser| ||认证|uri|/gateway/knoxsso/api/v1/websso?originalUrl=mydomain/gateway/default/hbase/testdatabase/%2A|success| 2005 年 5 月 17 日 11:58:33 ||5737b75b-9082-44e5-9afd-9675e9c36c43|审计|KNOXSSO|testuser|||身份验证|uri|/gateway/knoxsso/api/v1/websso?originalUrl=mydomain/gateway /default/hbase/testdatabase/%2A|success|Groups: [] 17/05/05 11:58:|不可用|请求方法:GET 17/05/05 11:58:33 ||53594522-40b6-4040-ad2e-07e71a8ae112|audit|WEBHBASE||||dispatch|uri|mydomain:60080/testdatabase/ ?user.name =testuser|不可用|请求方法:GET 17/05/05 11:58:33 ||53594522-40b6-4040-ad2e-07e71a8ae112|audit|WEBHBASE||||dispatch|uri|mydomain:60080/testdatabase/ ?user .name=testuser|success|响应状态:403 17/05/05 11:58:33 ||53594522-40b6-4040-ad2e-07e71a8ae112|audit|WEBHBASE||||access|uri|/gateway/default/hbase /testdatabase/ |成功|响应状态:403
hortonworks-data-platform - Hdp 集群上的 Hue 和 Apache Ranger
我让 Hue 在 Hortonworks Data Platform 集群上工作。由于我不能将 Sentry 用于 HDP 平台,因此我想利用 Apache Ranger 来实现安全性和其他好处。那么,我可以将 Apache Ranger 与 Hue 一起使用吗?
hadoop - 安装 Apache Ranger 后无法重新启动配置单元
我最近安装了 apace Ranger 并启用了配置单元插件。尝试在配置单元重新启动受影响的组件时出现以下错误
resource_management.core.exceptions.Fail:在配置字典中找不到配置参数“REPOSITORY_CONFIG_USERNAME”!
elasticsearch - 是否可以使用 Ranger 保护 Kibana UI
我使用 HDFS 数据创建了一个 Kibana 仪表板。(注意:我使用 Elasticsearch-Hadoop 将 Elasticsearch 与 Hotonworks 连接)。我想保护 Kibana 仪表板。是否可以使用 Ranger 执行该安全功能。
apache - presto 在 localhost 而不是具有 hive 元存储的远程主机上查找分区
hostA 已安装并运行 MySQL(3306 端口)、hive(10000 端口)和 hive Metastore(9083 端口)。hostB 已安装并运行 presto。
目标是让 hostB 运行 presto,它允许对 hostA 上的 hivemetastore 进行查询。
下面出现错误。/home/ec2-user/warehouse/contact 在 hostA 的本地文件系统(不是 hdfs/s3)上确实存在(并且表已分区)但在 hostB 上不存在,为什么 presto 试图在 presto 的本地主机上查找 hive 分区运行 (hostB) 而不是在 hostA 上运行(配置单元元存储在哪里)?Metastore 连接建立,因为 presto 能够列出 Metastore 上的表。
apache-spark - 按列保护 Parquet 文件
我一直在寻找一种方法来保护 Parquet 文件,按列,用于 Spark 访问。理想情况下,这将与Apache Ranger为 Hive 工作的方式相同,即系统管理员为不同的组和列定义访问策略。
我一直在通过 Hortoworks HDP 尝试 Ranger,但是,Spark 和 Parquet 的插件似乎还没有。
我还能够使用Apache Drill和视图设计一个解决方案,但是,目前还不能接受,主要是因为社区对 Drill 的支持仍然很少。
有没有人面临同样的要求和/或有一些解决方案的方向?
hortonworks-data-platform - 如何在 Apache Ranger 的审计中启用“服务名称”字段?
是否可以在 Apache Ranger 的审计中启用“服务名称”字段?
该字段在以下位置提及:
如果是,是否取决于安装的 Ranger 版本,或者是否有需要编辑的配置文件?
非常感谢。
编辑:
看起来 repo/repoType 字段对应于 Apache Ranger Web UI 中的服务名称/类型。请问有人可以确认吗?