问题标签 [apache-ranger]

我需要设置 Ranger 策略来限制用户从 HIVE 表中的列访问某些数组结构。

例如，我在 Hive 表中有一个名为“配偶”的列，其中包含数组结构，例如配偶名字、配偶姓氏、配偶出生日期、配偶sn、配偶地址、配偶出生地。

我需要限制用户访问数组结构——savessn 和saveaddress。

如何设置 Ranger 策略以仅限制“配偶”列中的这两个数组结构？

HDP 版本 - 2.6.3

蜂巢版本 - 1.2.1

游侠版本 - 0.7.0

我的 LDAP 服务器是 SSL，如果我需要连接到 LDAPS 服务器。我是否需要在我的服务器中启用 SSL 才能从服务器获取结果。

示例：我正在尝试连接到 HDP2.x 中的 Apache Ranger。我需要在 Ranger 机器中启用 SSL 以获取结果还是只启用 LDAP 才能工作

我正在设置具有独立 Spark 集群、Hive、Apache Ranger 的 EC2 机器。Hive 已集成到 Ranger。

由于 Ranger 不支持 Spark-SQL JDBC（端口 10015），因此我尝试了这个开源项目https://github.com/yaooqinn/spark-authorizer进行 Spark 授权。但是没有用，因为它似乎依赖于纱线资源管理器。

我想知道使用 Apache Ranger 在 Spark-sql 上获得授权的任何可能方法。

我们没有使用任何已实现的发行版，因此 hortonworks 中的 SPARK-LLAP 等功能不是一个选项。

我已经尝试过http://mail-archives.apache.org/mod_mbox/ranger-user/201601.mbox/%3CCAC1CY9P7iek6U6VDwLEXvLdCNRTcJzk5UWg3sei1MuUMCGrtWA@mail.gmail.com%3E中解释的内容，但这也没有用。

去年为此提出了一个火花 jira，但似乎还没有起色。https://issues.apache.org/jira/browse/SPARK-24503

我们正在使用 Spark 2.3、Hive 2.3、Ranger 1.0。

我对 hive 和 hadoop 生态系统非常陌生。

我正在尝试在 hive 中创建一个新表，但遇到此错误：

根据一些建议，我必须设置 Ranger 策略，但经过检查，策略已经具有“全部”权限

其他策略也获得了相同的权限。

我错过了什么？谢谢你。

我正在安装 Ranger Kylin 插件。我已经完成了插件安装。Ranger 在其网页上展示了 Kylin 的服务和政策。Ranger admin UI 与 kylin 成功连接，同时在 etc/ranger 中创建了策略缓存 json 文件。我还使用“kylin.server.external-acl-provider”更新了 kylin.properties 文件。

现在，当我使用 ranger admin UI 创建一个新用户并在 kylin 策略上授予该用户权限时。之后使用相同的用户我无法登录 Kylin GUI。

我检查了日志，它说找不到用户。只有 spring 安全代码在异常中，在异常中没有 Ranger 代码堆栈跟踪可用。我猜，麒麟没有切换到游侠身份验证。

我是否需要在 kylin.properties 中添加更多属性才能开启 Ranger 策略？那么，Kylin 可以使用 ranger 用户进行身份验证吗？

我使用带有原子策略的典型堆栈 YARN/Ranger 来访问 YARN 队列。拥有 Hadoop 用户访问权限，如何获取用户有权访问的队列列表？我可以从管理员端看到它通常是如何完成的，但是用户呢？我浏览了纱线 API，但一无所获。Ranger - 用户通常没有足够的权限来获取有关自身的更多详细信息。唯一的方法是暴力破解集群中的所有队列，直到你找到可访问的队列？

架构：大数据集群在 Microsoft Azure 上使用 Hortonworks Cloudbreak 部署，存储为 Azure Data Lake Storage (ADLS)。用户将从客户端 Active Directory 同步到 Azure Active Directory。

Apache Ranger 将用于为位于 ADLS 中的数据实体提供基于标签和基于角色的访问，但是当从 Hadoop 环境外部（例如 Azure 存储资源管理器）访问 ADLS 时，Ranger 将失去其控制权。

问题：那么我们如何确保Ranger 和 Azure Active Directory 同步，以便在用户从 Azure 存储资源管理器或 Azure Portal 访问 ADLS 时可以实施 Ranger 策略？

仅在互联网上找到相关参考：

http://mail-archives.apache.org/mod_mbox/ranger-user/201803.mbox/%3C0269973F-08C2-4C86-B582-3DD96341B59A@hortonworks.com%3E

我使用 hortonworks/sandbox-hdp:3.0.1 和 hortonworks/sandbox-proxy:1.0。作为码头集装箱。尝试使用管理员/管理员连接到游侠，但没有成功 - 您输入的用户名或密码不正确。

尝试在此处更改 Ambari 中的Ranger 密码 - Ranger Admin 用户的 Ambari 密码和 Ranger Admin 用户在 Advanced ranger-env 部分的密码，并且无法使用新密码登录 Ranger。现在我也有 Ranger 管理员密码检查警报 - Ambari UI 上的用户：管理员凭据与 Ranger 不同步

请澄清 Ranger 的默认用户名和密码，或向我提供如何更改它的步骤。

PS 作为 maria_dev 用户具有游侠访问权限，并且无法以 root 身份登录 MySQL DB 以尝试重置当前游侠密码

我正在使用游侠进行 HBase 授权。我在 ranger 中手动创建了用户并进行了测试。这是工作。现在我想从 Java 代码中传递用户来测试 Hbase 的授权。

我们正在使用 LDAP/AD 同步源将用户从 LDAP 同步到 Apache Ranger。但根据我们的观察，只有一个特定用户没有同步到 Ranger。

我们交叉验证并确认用户存在于 LDAP 端，并与其他用户一样具有正确的数据。

什么可能导致问题？