Apache Ranger安装配置以及和LDAP集成

导语

Ranger是Hadoop平台的集中式安全管理框架，能够为hadoop平台组件提供细粒度的访问控制。通过Ranger, Hadoop管理员能够轻松地管理各种安全策略，包括：访问文件/文件夹，数据库，Hive表，列, Hbase, YARN等。此外，Ranger还能进行审计管理，以及策略分析，从而为Hadoop环境的深层次分析提供支持。
目前，Ranger支持对以下的Hadoop组件：HDFS, HBase, Hive, Yarn, Knox, Storm, Solr, Kafka。
本文主要介绍如何在Ambari环境下安装Ranger，如何配置Ranger使之与LDAP集成，如何通过配置Ranger策略完成访问控制。

1. Ranger介绍

Apache Ranger目前是Apache下的顶级项目，目的是通过制定策略(policies)实现对Hadoop组件的集中式安全管理。用户可以通过Ranager实现对集群中数据的安全访问。
Ranger由三个模块组成：

• Ranger portal: 提供给用户进行安全管理的界面

• Ranger plugin: 嵌入在需要安全控制的组件进程中，提供两种功能：从Ranger server中把用户配置的安全策略拉取到本地，当用户访问请求到来时，根据安全策略判断该用户是否有权限访问；从本地将用户访问的纪录返回给Ranger服务进行审计。

• User group sync: 提供从OS, LDAP, Active Directory拉取用户和用户组的功能。同步到的用户和用户组能够展示在Ranger portal中

2. HDP2.4 Ambari环境下安装Ranger

安装前置条件

• 必须已经使用Ambari部署Hadoop集群
  使用Ambari安装Ranger只能在安装Hadoop之后使用add service的方式将Ranger安装在集群中。因为在使用Ambari部署Hadoop集群时，在service列表中没有Ranger。

• 集群中已经安装了数据库
  目前Ranger支持mysql, oracle, postgres, mssql, sqlanywhere等。建议在Ambari环境下使用Ambari server 安装的postgres数据库。

• 在Ambari server上执行
  ambari-server setup --jdbc-db={database-type} --jdbc-driver={/jdbc/driver/path}
  其中database-type为所用的数据库类型，/jdbc/driver/path为jdbc driver路径。
  步骤为：

  • 检查/usr/share/java目录下是否有postgres jdbc driver文件 /usr/share/java/postgresql-jdbc.jar。如果没有，从postgres安装目录下拷贝至此目录。

  • 执行
    ambari-server setup --jdbc-db=postgres --jdbc-driver=/usr/share/java/postgresql-jdbc.jar

安装Ranger

• 打开Ambari，在Actions下点击Add Service，在打开的服务列表里，勾选Ranger，点击next

• 在安装配置页面，Ranger Admin下，

  • DB FLAVOR 选择POSTGRES
  • Ranger DB host 选择Postgres安装的主机名
  • Ranger DB password 输入Postgres DB的密码
  • DBA username改为postgres, DBA password输入密码
  • JDBC connect string 例如： jdbc:postgresql://ochadoop06.novalocal:5432/postgres

  配置完成后，点击Test Connection。如果返回没有权限，一般是因为在postgres的配置里面没有把该机器的访问权限配置。
  需要在安装postgres的机器上配置/var/lib/pgsql/data/pg_hba.conf，增加需要访问的机器权限，例如：host all postgres 192.168.1.11/24 ident
  然后重启postgres.

• 在Ranger User Info配置下，主要是配置是否从LDAP读取用户组，此项配置可以在安装完成后再进行配置。

• 在Ranger Audit配置下，主要对Ranger audit log的存放位置进行配置。

  • 如果集群中已经安装了Solr，可以打开Solr选项，ranger.audit.solr.urls为solr core的地址，例如：http://ochadoop06.novalocal:8983/solr/ranger_audits
    ranger.audit.solr.username 使用默认，ranger.audit.solr.password输入创建密码。

  • 打开HDFS配置，Ranger audit log可以自动保存在HDFS中以便长期保存。Destination HDFS Directory为HDFS保存的地址，例如：hdfs://ochadoop06.novalocal:8020/ranger/audit

  • 打开DB配置，把audit log保存在DB中.

3. Ranger配置

Ranger配置LDAP

Ranger用来获取用户和组的模块叫做User group sync，可以配置获取Unix，LDAP或者AD的用户和组。

• Ranger User Info配置

  打开Ambari Ranger配置页面里的Ranger User Info选项。

  • Enable User Sync 置为 Yes
  • Sync Source 选择 LDAP/AD

  打开Cmmon Configs

  • LDAP/AD URL，输入LDAP URL。例如：ldap://192.168.1.15:389
  • Bind Anonymous 置为 No
  • Bind User，输入LDAP的管理员用户。例如：cn=root,dc=asiainfo,dc=com
  • Bind User Password，输入上面LDAP的管理员密码。

  打开User Configs

  • Username Attribute，输入cn
  • User Object Class，这个根据LDAP配置决定，一般可以配为person，user，或者posixAccount。
  • User Search Base，输入ou=People,dc=asiainfo,dc=com
  • User Search Filter，输入cn=*
  • User Search Scope，输入sub
  • User Group Name Attribute，输入memberof。这个根据LDAP配置决定，一般需要LDAP支持memberof属性。
  • Group User Map Sync，置为Yes。

  打开Group Configs

  • Enable Group Sync，置为Yes。
  • Group Member Attribute，输入 memberUid。
  • Group Name Attribute，输入 cn。
  • Group Object Class，输入posixGroup。这个根据LDAP配置决定，需要查看LDAP的group object class。一般为group或者posixGroup。
  • Group Search Base，输入ou=Group,dc=asiainfo,dc=com
  • Group Search Filter，输入cn=*

• Advanced配置

  Ranger Settings

  • Authentication method，选择LDAP

  LDAP Settings

  • ranger.ldap.base.dn，设为LDAP的dn，例如：dc=asiainfo,dc=com
  • ranger.ldap.group.roleattribute，设为cn
  • ranger.ldap.user.dnpattern，设为uid={0},ou=People,dc=asiainfo,dc=com，其中ou=People,dc=asiainfo,dc=com为LDAP 的用户类别。

• 根据上述配置好后，使用Ambari重启Ranger，打开Ranger界面。在Settings下的的Users/Groups可以查看到已经同步到的LDAP用户和用户组。如果用户和用户组没有同步到，应该是配置的有问题，可以通过Ranger提供的LDAP检查工具进行检查。

  • 进入工具目录，/usr/hdp/current/ranger-usersync/ldaptool
  • 配置conf/input.properties，其中的参数根据Ambari上配置的Ranger LDAP配置。
  • 执行./run.sh -r groups -i conf/input.properties 获取用户组信息，-r users返回用户信息，-r all 返回用户和用户组信息。返回的结果在output/ ldapConfigCheck.log中。

Ranger配置Audit log

• Ranger Audit配置
  打开Ambari Ranger Configs下的Ranger Audit，

  • Audit to DB，置为Yes。设置Data base 密码。这样的目的是使Ranger将log存放在DB中。

• ranger.audit.source.type

  打开Advanced下的Advanced ranger-admin-site，将ranger.audit.source.type设为db。这样的目的是Ranger Admin从DB读取audit log。

Enable Ranger Plug-in

进入Ranger Plugin配置页面，打开需要使用Ranger进行安全控制的组件。例如hdfs，yarn，hive。