我已经尝试通过将 HDInsight 与 Azure AD 集成来加入域的 HDInsight 群集。我想知道，如果这种集成也可以支持 On-prem AD 吗？

我已经安装了 ranger 和 ranger hive 插件，创建了一些策略来启用对某些用户的配置单元对象的授权。它运作良好。但是，如果我安装 Ranger 的机器（EC2）出现故障，那么我认为我需要重新创建策略？我有一个带有常规快照的 MySQL RDS（多 az），因此数据库数据应该可用，但我还需要备份什么（即到 s3，然后如果初始 EC2 死了，则恢复到新的 EC2）？我假设 /etc/ranger/ 下有一些 json 文件。还要别的吗？

环境

• 阿帕奇游侠1.0
• 蜂巢 2.1.1
• Hadoop 2.8.3

注意：不使用hortonworks

我们已经安装了 Apache Ranger 1.0.0。我们进行了配置单元服务设置并在配置单元表上定义了策略以限制访问。此配置单元服务使用带有端口 10000（默认端口）的 jbdc 连接字符串。它工作正常。

我们尝试为 spark sql 设置 ranger。使用链接

https://www.mail-archive.com/user@ranger.incubator.apache.org/msg00799.html

但是当我尝试单击 Ranger UI 中的“测试连接”按钮时，它会抛出错误。

当我点击“显示更多”按钮时，它给出了这个错误

我们正在使用 Hive 版本 - apache-hive-2.3.2.5。

但是，当通过 spark_home/bin/beeline 或通过具有与我们在 ranger 服务中使用的相同 jdbc 连接字符串的任何 sql 客户端进行连接时，Spark sql 工作正常。

任何指针都会有很大帮助。

我正在从 unix shell 运行 curl 命令以在 ranger (hadoop) 中添加用户，但我想从 python 脚本运行相同的 curl 命令，如何实现相同的效果？请在下面找到相同的 curl 命令： curl -u admin:admin -v -X POST -H "Accept: application/json" -H "Content-Type: application/json" http://:6080/service/xusers /secure/users -d @/tmp/userfile.json

Ambari 向我显示了一条警报消息：

“游侠管理员密码检查用户：Ambari UI 上的管理员凭据与游侠不同步”

我该如何解决这个问题？我需要做什么。

我尝试为（amb_ranger_admin、admin 等）设置相同的密码，但没有帮助。

我的 Ambari 版本是 2.7.1 HDP 3.0.1

我在集群的两个不同节点上创建了两个空组，每个节点上只有一个。我的 Ranger 服务使用 unix 用户同步，当我重新启动 Ranger 服务时，我无法在 Ranger UI 中看到我添加到集群节点的组，我使用的是 HDP 2.5。如何将我的 ranegr 与 unix 用户同步？

我正在寻求有关 HDP 中 Ranger 授权服务实现以下用例的帮助。

我有一个配置单元表“客户”，它包含从 HDFS 加载的两个分区下方。

/data/mydatabase/customer/partition1/

/data/mydatabase/customer/SenstivePartition2/

我有两个用户 - user1 和 user2，我想以这样的方式定义一个策略

user1 --> 应该可以访问 --> partition1

user2 --> 应该能够访问 --> partition1 和 SenstivePartition2 两者。

由于第二分区高度敏感，因此我不想定义表级策略，否则两个用户都将获得所有访问权限。

谢谢沙市

我已经为 apache hadoop-2.7.7 安装了 ranger-admin 和 ranger-usersync。当我尝试安装相同的 ranger-hdfs-plugin 时，相同的服务未列在 ranger-admin UI 上（在服务管理器下）。ranger-hdfs-plugin的install.properties文件如下所示：

我一直在尝试保护我的 Horton 集群，以便授权通过 Ranger 进行文件访问。我遵循了 Hortonworks 网站 ( https://hortonworks.com/blog/best-practices-in-hdfs-authorization-with-apache-ranger/ ) 上提供的最佳实践指南。但是，这样做之后，我发现 HBase 无法启动。

我得到的错误是：

我已将 Ranger 配置为允许 hbase 用户完全访问 (RWX) /apps，但是系统似乎绕过了此策略以支持 HDFS 权限：

它似乎允许所有其他访问类型，包括 READ_EXECUTE，但忽略了从 /apps 中执行的权限。

谢谢你的帮助。

我有一些NIFI自动化脚本，当我在不安全的集群（localhost/或 somehwere）上运行时，它们工作得非常好，但是当我针对KNOX gateway后面的 URL 运行时，我得到了这个错误。我可以在nipyapi.access_api类中看到一些函数

• def knox_callback(**kwargs)
• def knox_callback_with_http_info(self, **kwargs):
• def knox_request(self, **kwargs):
• def knox_request_with_http_info(self, **kwargs):

我无法理解如何使用这些或与类中的任何其他功能相结合来克服这个问题？任何想法？

EDIT1： 首先使用security.py 函数的IM 是secure_login。在文档中，其书面登录需要通过 https 进行安全连接。在调用此方法之前，必须指定主机并配置 SSLContext（如果需要）。 set_service_ssl_context这个函数可以达到目的，但我不确定我是否需要它，因为一种方式 TSL 不需要它。

但我有一个困惑。我有两个 URL，一个带有 LDAP 登录的 Knox URl 另一个直接 URI（尽管它也重定向到 knox-Ldap 序列）当我给 Knox url 时，与直接错误相比，我得到了一个不同的错误。

从我得到的直接 URI

如果是 Knox uri，它会在同一行上引发相同的连接错误异常，但

所以我假设我必须使用直接网址。其次，为什么它说用户不适合。我可以手动登录。来自 LDAP 序列。我当前的请求是以匿名用户身份进行的，因此我将使用 Certs 并尝试使用 PEM 文件的 set_service_ssl_context 函数。

顺便说一句，下面是两个网址。

“nifi_host”：“https://****.****.net:8443/nifi-api”，直接网址

“nifi_host”：“https://****-****.****.net:8443/gateway/****-sso/nifi-api”，诺克斯网址

编辑 2： 即使使用以下代码，我的请求也会在服务器上以匿名方式接收。

它在这里给出连接错误

nipyapi.nifi.AccessApi().create_access_token( username=username, password=password) 并显示此错误 HTTP 响应正文：此 NiFi 不支持用户名/密码登录

我不确定如何正确使用 set_service_ssl_context。也许我应该尝试直接使用letsencrypt-root-ca而不是bi.keystore：letsencrypt.org/certs/isrgrootx1.pem.txt或我的本地系统ca-certs。

我的 toolkit-cli 属性文件是

*baseUrl= https://svc-hadoop-utilities-pre-c3-02.jamba.net:18443

keystore=/home/jread/nifi-toolkit/bi.keystore

密钥库类型=JKS

keystorePasswd=infraop6043

密钥密码=

truststore=/usr/lib/java/jre/lib/security/cacerts

信任库类型=JKS

truststorePasswd=changeit

proxiedEntity=CN=bijobs.jamba.net*