ranger中启用“deny” policies(hdfs、hive等)

最新推荐文章于 2023-12-18 16:45:32 发布
最新推荐文章于 2023-12-18 16:45:32 发布
阅读量522 收藏
点赞数

如果没有“拒绝”策略,Ranger策略和HDFS ACL之间最宽松的访问将用于授予对资源的访问权限。换句话说,除非您明确定义了适用于所访问资源的“拒绝”策略,否则将始终考虑HDFS ACL进行授权。

启用HDFS“拒绝”策略

默认情况下,Ranger UI中不提供“拒绝”策略。这主要是因为这个概念很难理解,使用“拒绝”政策时,事情很快就会变得一团糟。此外,对于大多数用户,永远不会使用此功能。使用该功能时需要小心谨慎。

要启用它,请从Ranger管理服务器检索HDFS服务定义:

$ curl -k -u <user> https://<ranger_admin_server>:6080/service/public/v2/api/servicedef/1 > hdfs.json

ps: 端口根据部署ranger的端口来指定,可能不同;1代表HDFS,2代表HBASE,3代表HIVE,具体请查看RANGER REST APIS

然后,看看内容:

$ cat hdfs.json {...,"isEnabled":true,"name":"hdfs","options":{"enableDenyAndExceptionsInPolicies":"false"}...}

在“选项”字段中,您可以添加(或修改它,如果它已经存在):

"options":{"enableDenyAndExceptionsInPolicies":"true"}

然后你只需要更新服务定义:

$ curl -k -u <user> -X PUT -H "Accept: application/json" -H "Content-Type: application/json" -d @hdfs.json https://<ranger_admin_server>:6080/service/public/v2/api/servicedef/1

启用HIVE“拒绝”策略

同HDFS,将调用API改成3就可以了

效果如下图:

 

 

 

W609392362
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HBase体系、HDFS API基本操作
qq_29305191的博客
09-13 265
HBase的体系结构 1、主从结构: 主节点:HMaster 从节点:RegionServer 2、基于HDFS上的NOSQL数据库 HBase HDFS 表 --------&gt; 目录 数据 ---------&gt; 文件 主从结构的单点故障问题 ...
ranger命令
啦啦啦
03-30 9178
ranger命令 ranger主要用来在终端浏览文件的, 使用起来也比较优于平时常用的cd命令. 安装 sudo apt-get install ranger 配置 启动之后 ranger 会创建一个目录 ~/.config/ranger/. 可以使用以下命令复制默认配置文件到这个目录: ranger --copy-config=all rc.conf - 选项设置和快捷键 commands...
Ranger policiesDeny-conditions 和excludes介绍
TBSOD的博客
05-07 983
1简介 Apache Ranger为Enterprise Hadoop生态系统提供集安全性,包括细粒度访问控制和集审计。当前版本的Apache Ranger,0.5支持授权策略,允许在满足指定条件时访问资源 - 条件包括用户/组,访问类型和自定义条件。但是,该模型不支持可以明确拒绝访问资源的策略。此外,该模型不支持允许(或拒绝)访问更广泛的组(如员工,每个人)的策略,但不包括可能属于更广泛组...
日志告警模块关于对安全策略deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)...
weixin_33834628的博客
05-28 253
一、场景说明日志监控监测模块,通过收集网络设备发送的syslog关于deny日志信息,来溯源到发出大量deny访问日志的设备所连接的二层设备的接口,通过自动化产品平台有效对大量非法访问或***行为通过shutdown接入层接口的方式来阻断***蔓延,有效的保护内网安全。 二、已调研的产品支持范围 网络环境主要存在以下厂家的产品: 随着网络规模越来越大,网络设备种类繁多,并且各自的配置错综复杂,对...
hadoop+kerberos+ranger Api整理(六)
weixin_40496191的博客
01-02 1249
hadoop相关组件api
hadoop之ranger权限配置(二)
weixin_40496191的博客
01-02 2044
ranger权限配置
ranger】CDP环境 更新 ranger 权限策略会发生低概率丢失权限策略的解决方法
最新发布
Mrerlou的博客
12-18 1151
服务在更新(添加) ranger 权限时,会有极低的概率导致 MM2 同步服务报错,报错内容。看到我们的策略确实是已经配置,但是实际上落实到各个服务的策略缓存时发生了丢失。CM ->ranger-> 配置 -> 日志 -> INFO改为 DEBUG。查看修改配置后,ranger 的性能。但是查看 ranger 权限是赋予的,并且很早配置的权限策略也会报错。CM -> 集群 -> Ranger-> 配置 -> 搜索。1.集群 -> Ranger -> 配置 -> 搜索。就是存放我们实际的缓存策略的文件。
Route-Policy 路由策略 规则详解
热门推荐
yiluyangguang1234的专栏
07-14 4万+
ROUTE-POLICY 路由策略 规则详解  在实际工程经常用到route-policy的情况,下面对route-policy和ACL的详细匹配规则做以说明:  一、 标准访问列表:  #  acl number 2000    rule 0 permit source 192.168.1.0 0.0.0.255  此类ACL用于route-policy时做前缀匹配,即路由条目
防火墙安全策略
qq_44850340的博客
02-04 5067
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
Hdfs 权限与Ranger 权限管理的控制
Stay Focused And Work Hard !!!
01-02 9097
本文主要探讨Ranger对Hdfs文件权限控制的一些细节问题笔者环境:Ambari + Hdp2.5 (安装了Ranger, Kerberos)1、首先是Hdfs 源文件文件对外开放的权限如下:新建文本文档.txt 对应的权限如下-rwxrwx---对应的权限说明权限说明:对资源所拥有者以及分组内的用户开放读写执行权限,其他用户没有任何权限用户project2 权限信息1、project2没有加...
干货:一文看懂Apache Ranger | 凌云时刻
云布道师
05-26 6110
凌云时刻 ·技术导读:Apache Ranger来源于XA Secure公司。2013年,XA Secure在加利福尼亚成立,专门做Hadoop生态的安全管控。2014年,Horton...
APACHE RANGER 调研----5.ranger 原理解析
wangwenting2016的博客
12-24 5293
1.hive 授权流程    (1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限) --->(2) 用户通过 jdbc beeline 去请求HiveServe2     --->(3)hive 权限check, 请求ranger api 获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据, plugin 会30 秒访问ranger
使用Ranger对Hive数据进行脱敏
weixin_34040079的博客
01-15 2023
Ranger支持对Hive数据的脱敏处理(Data Masking),它对select的返回结果进行脱敏处理,对用户屏蔽敏感信息。 备注:该功能针对HiveServer2的场景(如beeline/jdbc/Hue等途径执行的select),对于使用Hive Client(如hive -e 'select xxxx')不支持。 接下来介绍如何在E-MapR...
ranger控制数据访问权限
onlyForCloud的专栏
04-05 1万+
ranger的特点就是,自己可以帮你去干你不能干的事情。 比如你这个用户没有hdfs某个目录下某个文件的读权限,但是你在ranger里面配了可以访问这个文件,你访问时ranger就帮你拿回来给你   一,hbase权限 (OK) 【前置】 Ranger上配置了HBase的所有表都只能由hbase用户和ambari-qa用户来访问   【实际】 1、我们使用hive用户执行h
hive多用户权限控制
zhangxiong0301的专栏
08-27 1114
当多个不同角色的用户共用hive时,需要对不同的角色做不同的权限控制。权限控制主要指底层的hdfs文件操作控制和hive自身的对表的授权管理。   首先,安装hivehive装好后以管理员身份启动hive,即执行命令:hive -hiveconf hive.root.logger=DEBUG,console 报错如下:   2014-02-13 16:48:59,968 ERROR...
HDFS客户端权限拒绝:Permission denied
wsf123lcj的博客
12-28 2184
原文搭建了一个Hadoop的环境,Hadoop集群环境部署在几个Linux服务器上,现在想使用windows上的Java客户端来操作集群HDFS文件,但是在客户端运行时出现了如下的认证错误,被折磨了几天,问题终得以解决。以此文记录问题的解决过程。 (如果想看最终解决问题的方法拉到最后,如果想看我的问题解决思路请从上向下看) 问题描述 上传文件的代码: private static voi
使用apache ranger控制hdfs权限,对组设置访问权限不起作用的解决
join_null的博客
02-15 2820
问题:      在rangerhdfs控制策略对组mygroup授权访问/my目录可读、可写、可执行。并将/my目录的用户组已经改为mygroup。但是以mygroup组的用户test用户使用hadoop fs -mkdir /mygroup/test1命令创建目录,还是提示无权限。ramger审计日志显示被hadoop-acl权限执行器拒绝。后查看ranger的hdfs插件日志发现。是...
Hive权限控制
阿正的博客
03-12 825
Hive之——权限管理(授权) https://blog.csdn.net/l1028386804/article/details/80216911 开放计算平台——数据仓库(Hive)权限控制 https://www.cnblogs.com/yurunmiao/p/4449439.html ...
Ranger权限策略不生效或延迟
qq_32068809的博客
11-04 2340
最近在使用Ranger配置管理Hbase权限时候,发现虽然创建了权限策略,但是不能生效,打开Ranger审计页面时,可以看到刚修改的策略虽然更新了,但是没有生效,如图: 该页面可以看到有些策略状态存在警告,鼠标放在警告图标处可以看到提示“策略生效时间延迟超过1小时··” ,打开ranger服务日志可以看到错误: 错误说“spnego.service.keytab”文件没有读的权限,并且发现该文件为root用户所属,于是将该文件赋予666权限,再次重启ranger服务后策略正常生效,打开Range
ranger-admin开启默认deny权限
07-20
要在Ranger Admin启用默认的拒绝权限,您可以按照以下步骤进行操作: 1. 登录到Ranger Admin的管理界面。 2. 导航到"服务"(Services)选项卡,并选择您想要启用默认拒绝权限的服务。 3. 在服务详细信息页面,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值