问题标签 [apache-ranger]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache-kafka - 无法启动 Kafka Connect:获取主题元数据时超时
首次尝试使用现有的 Kafka 部署运行 Kafka Connect。使用 SASL_PLAINTEXT 和 kerberos 身份验证。
我第一次尝试开始时connect-distributed
,我看到:
如果我立即第二次运行,而不做任何更改,我会看到:
这是可重现的。
工人配置:
kerberos - Apache Ranger 无法在 Kerberos Hadoop 集群中安装
我已经从 Ambari 2.7.2 启用了 Kerberos,并测试了来自 Kafka 和 HBase 的身份验证。现在我尝试安装 Apache Ranger 进行授权。使用基于 Unix 的 Mysql DB。ranger admin 已安装,但 ranger user-sync 未安装。我在 Ambari UI 中遇到错误。
E: 无法获取一些档案,可能运行 apt-get update 或尝试使用 --fix-missing?
在 Ambari 审核日志中,我收到以下错误
hadoop - Ranger 未安装在 Kerberos Hadoop 集群中
我已经从 Ambari V2.7.3 和 HDP 3.1.1 安装了 Kerberos Hadoop 集群现在我正在从 Ambari 在同一个 Hadoop 集群中安装 Apache ranger。但是我在安装 Ranger 时遇到了以下错误。
java - Hadoop Hbase 访问被拒绝异常
我想访问与 Hbase 表同步的 phoenix 表。我编写了一些 jdbc 代码来访问 Phoenix 表中的数据,但是由于启用了游侠策略,我得到了拒绝访问异常。
我收到错误消息:
“登陆”用户已被授予通过游侠执行所有任务的权限,但我仍然收到“权限不足”的错误消息。我想以“登陆”用户的身份创建连接。在这里需要帮助
hdfs - Ranger 策略不适用于 HDFS NFS 访问
我有一个 HDFS 资源的游侠策略,看起来像......
现在尝试通过hadoop fs <path to the hdfs location>
两个不同的用户访问该 HDFS 路径:
按预期工作。现在尝试通过ls -lh <nfs path to the hdfs location>
本地文件系统:
我们看到两个用户都能够通过 NFS 访问 HDFS 位置(即使只有hph_etl
用户应该能够)。有人知道这里发生了什么吗?任何调试提示或修复?
更新:
显然,这不是意外的行为。与 Hortonworks 的人交谈,目的是...
- 使用基于 POSIX 限制的权限通过 NFS 将 HDFS 的特定部分挂载到机器上
- 然后让 NiFi(例如来自 HDF)不断监听这些位置,然后将数据加载到HDFS 中其他受 Ranger 保护的位置
对我来说,这似乎是一个安全问题,因为我可以轻松地做这样的事情
如果在仅将所有 HDFS 挂载到位于 HDFS 根目录的服务器的常规集群节点上。不写这个作为答案,因为有点希望这不是答案;将继续寻找。
apache-ranger - Ranger tag permissions appear to not take effect in Atlas
Having problem where it appears that policy tags set in Ranger appear to not take effect in Atlas.
Roughly following the tutorial here (https://hortonworks.com/tutorial/tag-based-policies-with-apache-ranger-and-apache-atlas/section/2/#create-ranger-tag-based-policy), trying to create a tag policy for classifications created in Atlas.
Created a classification in Atlas for an hdfs_path entity Then created a ranger tag for that Atlas PHI classification that only allows certain atlas actions for a user not the atlas admin user, in Service Manager > Tag Based Policies In Service Manager > atlas Policies, I make an Atlas service that uses that tag and disable the Ranger Atlas service policy related to allowing public access to Atlas
Yet logging into Atlas as admin (not the user specified in the Ranger tag), I can still search for and find atlas entities that have the PHI tag assigned to them as well as remove and (re)add the tag, evidenced in the Ranger audit logs... I would think this should not be possible. I would expect the tags column to have the custom tag in it and for access by "admin" to have been denied.
As an HDFS example...
Despite the fact that the Ranger tag only specifies user hdfs, I can still access the HDFS location as user "admin". I notice several things about the Ranger audit shown below
- The "Name/Type" includes the Atlas classifications associated with the resource
- The tags column is empty
I interpret this to mean that 1) Ranger recognizes that the location is associated with some Atlas tags and 2) it does not see any tags for or against allowing the user "admin" to access that resource.
Can anyone with more Atlas+Ranger experience let me know what I am getting wrong here? Any debugging suggestions?
apache-ranger - 有没有办法让 Ranger 策略执行 SHOW 数据库?
阿帕奇游侠:1.2 蜂巢:2.3.3
Ranger 策略-A:AD Group-1 可以访问 DB-1 和 DB-2
Ranger 策略-B:AD Group-2 只能访问 DB-2
当属于 Group-1 的用户 1 执行“显示数据库;他可以看到数据库列表。
但是,当 user2 属于 Group-2 时,同样会出现以下错误,
这是预期的行为吗?
期望 user2 在执行“SHOW DATABASES”时只能看到他有权访问的数据库
rest - 无法更新/添加/删除用户到 Ranger 中的组
- 我们需要通过 REST API 将用户添加/更新/删除到 ranger 中的组。我看到有使用 userId 但不是通过 userName 可用的其余 API。我们有什么办法可以做到这一点???。2.此外,在创建用户时,不会使用 JSON 请求中给出的 id,而是 ranger 为用户创建自己的 id 并将其作为响应返回。有没有办法强制 Ranger 提供我提供的 ID。但即使是这个 id 在游侠 UI 中的任何地方都看不到。