问题标签 [apache-ranger]

首次尝试使用现有的 Kafka 部署运行 Kafka Connect。使用 SASL_PLAINTEXT 和 kerberos 身份验证。

我第一次尝试开始时connect-distributed，我看到：

如果我立即第二次运行，而不做任何更改，我会看到：

这是可重现的。

工人配置：

我已经从 Ambari 2.7.2 启用了 Kerberos，并测试了来自 Kafka 和 HBase 的身份验证。现在我尝试安装 Apache Ranger 进行授权。使用基于 Unix 的 Mysql DB。ranger admin 已安装，但 ranger user-sync 未安装。我在 Ambari UI 中遇到错误。

E: 无法获取一些档案，可能运行 apt-get update 或尝试使用 --fix-missing？

在 Ambari 审核日志中，我收到以下错误

我已经从 Ambari V2.7.3 和 HDP 3.1.1 安装了 Kerberos Hadoop 集群现在我正在从 Ambari 在同一个 Hadoop 集群中安装 Apache ranger。但是我在安装 Ranger 时遇到了以下错误。

尝试在 3 个 centos7 节点上安装 HDP 集群（用于测试/评估目的），当被要求为 Ranger 和 Ranger KMS 配置数据库时，我遇到了错误。

在运行 Ambari 自动数据库和数据库用户设置的连接测试时，看到错误表明节点无法连接。

我在数据节点上有一个新安装的 MySQL 服务器并且可以运行

但得到错误

投掷

错误 2003 (HY000): 无法连接到 MySQL 服务器上的 '' (111)

mysql 配置文件看起来绑定到所有接口......

所以不确定问题可能是什么。

对 MySQL 或 DBA 不是很有经验。对此有任何调试建议或修复吗？

我想访问与 Hbase 表同步的 phoenix 表。我编写了一些 jdbc 代码来访问 Phoenix 表中的数据，但是由于启用了游侠策略，我得到了拒绝访问异常。

我收到错误消息：

“登陆”用户已被授予通过游侠执行所有任务的权限，但我仍然收到“权限不足”的错误消息。我想以“登陆”用户的身份创建连接。在这里需要帮助

在设置 Ranger 策略时，在具有 HDFS /user 目录的本地计算机上的用户不会显示为可能的用户 我可以看到 Ranger 已经有一个地方可以在 Ranger UI 的设置菜单中查看和添加用户，但确定这是从哪里填充的。所以我的问题是什么决定了 Ranger 是否可以看到集群用户来设置策略（并且有没有一种简单的方法可以通过 ambari 进行管理）？

我有一个 HDFS 资源的游侠策略，看起来像...... 现在尝试通过hadoop fs <path to the hdfs location>两个不同的用户访问该 HDFS 路径：

按预期工作。现在尝试通过ls -lh <nfs path to the hdfs location>本地文件系统：

我们看到两个用户都能够通过 NFS 访问 HDFS 位置（即使只有hph_etl用户应该能够）。有人知道这里发生了什么吗？任何调试提示或修复？

更新：

显然，这不是意外的行为。与 Hortonworks 的人交谈，目的是...

• 使用基于 POSIX 限制的权限通过 NFS 将 HDFS 的特定部分挂载到机器上
• 然后让 NiFi（例如来自 HDF）不断监听这些位置，然后将数据加载到HDFS 中其他受 Ranger 保护的位置

对我来说，这似乎是一个安全问题，因为我可以轻松地做这样的事情

如果在仅将所有 HDFS 挂载到位于 HDFS 根目录的服务器的常规集群节点上。不写这个作为答案，因为有点希望这不是答案；将继续寻找。

Having problem where it appears that policy tags set in Ranger appear to not take effect in Atlas.

Roughly following the tutorial here (https://hortonworks.com/tutorial/tag-based-policies-with-apache-ranger-and-apache-atlas/section/2/#create-ranger-tag-based-policy), trying to create a tag policy for classifications created in Atlas.

Created a classification in Atlas for an hdfs_path entity Then created a ranger tag for that Atlas PHI classification that only allows certain atlas actions for a user not the atlas admin user, in Service Manager > Tag Based Policies In Service Manager > atlas Policies, I make an Atlas service that uses that tag and disable the Ranger Atlas service policy related to allowing public access to Atlas

Yet logging into Atlas as admin (not the user specified in the Ranger tag), I can still search for and find atlas entities that have the PHI tag assigned to them as well as remove and (re)add the tag, evidenced in the Ranger audit logs... I would think this should not be possible. I would expect the tags column to have the custom tag in it and for access by "admin" to have been denied.

As an HDFS example...

Despite the fact that the Ranger tag only specifies user hdfs, I can still access the HDFS location as user "admin". I notice several things about the Ranger audit shown below

1. The "Name/Type" includes the Atlas classifications associated with the resource
2. The tags column is empty

I interpret this to mean that 1) Ranger recognizes that the location is associated with some Atlas tags and 2) it does not see any tags for or against allowing the user "admin" to access that resource.

Can anyone with more Atlas+Ranger experience let me know what I am getting wrong here? Any debugging suggestions?

阿帕奇游侠：1.2 蜂巢：2.3.3

Ranger 策略-A：AD Group-1 可以访问 DB-1 和 DB-2

Ranger 策略-B：AD Group-2 只能访问 DB-2

当属于 Group-1 的用户 1 执行“显示数据库；他可以看到数据库列表。

但是，当 user2 属于 Group-2 时，同样会出现以下错误，

这是预期的行为吗？

期望 user2 在执行“SHOW DATABASES”时只能看到他有权访问的数据库

1. 我们需要通过 REST API 将用户添加/更新/删除到 ranger 中的组。我看到有使用 userId 但不是通过 userName 可用的其余 API。我们有什么办法可以做到这一点？？？。2.此外，在创建用户时，不会使用 JSON 请求中给出的 id，而是 ranger 为用户创建自己的 id 并将其作为响应返回。有没有办法强制 Ranger 提供我提供的 ID。但即使是这个 id 在游侠 UI 中的任何地方都看不到。