ranger插件的鉴权原理

最新推荐文章于 2024-05-19 21:34:53 发布
最新推荐文章于 2024-05-19 21:34:53 发布
阅读量2.5k 收藏 8
点赞数 4
分类专栏: ranger 文章标签: java spring python android 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hncscwc/article/details/120715227
版权

ranger插件开发的上下两篇文章介绍了如何在ranger中支持一个新的服务,并开发对应的客户端插件。但知其然还要知其所以然,简单的几个接口调用的背后,其内部最终是如何进行权限校验的。本文就来简单聊聊其内部实现原理。

【插件中与策略相关的类】

从ranger的web控制台可以看出:

  • 一个具体的服务,可能会有多个不同的策略仓库:资源的权限访问控制策略仓库(Access),结果的列访问控制策略仓库(Masking),结果的行访问控制策略仓库(Row Level Filter)

  • 每个策略仓库都可以配置多条策略

  • 每条策略又包含不同的策略条件

    策略条件包括:

    - 允许条件(Allow Conditions)

    - 从允许条件中排除的条件(Exclude from Allow Conditions)

    - 否决条件(Deny Conditions)

    - 从否决条件中排除的条件(Exclude from Deny Conditions)

  • 而这些策略条件都可以包含多个策略条目,每个策略条目由角色、用户、用户组、资源的访问类型组成。

如下图所示:

9f8579c34c2b69cc9491f66b47e274c0.png

在ranger插件内部,有一系列相关的类对应这些信息。类图信息如下图所示:

3e34b21f7d40d11606a1796cb935d28d.png

  • ServicePolicies

    服务的某个策略仓库的策略集合。

  • RangerPolicy

    对应一条具体的策略,其中包含几个重要的类成员:

    - resources:一个map表,key为资源名,value为RangerPolicyResource的实例对象,记录了该策略中包含的资源信息。

    - policyItems:对应策略中允许条件中的策略条目集合

    - denyPolicyItems:对应策略中否决条件的策略条目集合

    - allowException:对应策略中允许条件中排除的条件的策略条目集合

    - denyException:对应策略中否决条件中排除的条件的策略条目集合

    注意:policyItems、denyPolicyItems、allowException、denyException是同一个类的不同实例对象。

  • RangerPolicyResource

    对应一个具体的资源,其类成员value指示该资源的具体值列表。因为在web控制台中,同一个资源允许配置多个值。

  • RangerPolicyItem

    对应一个具体的策略条目。其类成员users、groups、roles分别为用户、用户组、角色列表;access是一个RangerPolicyItemAccess实例对象的列表,表示该策略条目包含哪些资源访问类型;conditions是一个RangerPolicyItemCondition实例对象的列表,表示该策略条目包含哪些自定义条件策略。

  • RangerPolicyItemAccess

    描述一个具体的资源访问类型。其类成员type表示访问类型。

  • RangerPolicyItemCondition

    自定义策略条件的策略条目。

【鉴权流程中的相关类】

上面几个类只是对权限相关的策略进行了描述,而仅靠这些描述,还不足以完成资源权限的访问控制。因此,在ranger插件的内部实现中,包含一个策略引擎来驱动完成具体的资源访问控制逻辑。

插件中的鉴权逻辑从上到下可以分为这么几层,每一层都对应一组相关的接口和实现类。

e47b4a47285741d893217eeef4f1c89a.png

  • RangerBasePlugin

    资源访问控制的入口,最终需要调用类的isAccessAllowed接口进行权限校验

  • RangerPolicyEngineImpl

    策略引擎的具体实现类,实现了RangerPolicyEngine接口

  • RangerEngine

    包含服务的各个策略仓库,并提供接口按类型、Tag、Zone获取对应的策略仓库。

  • RangerPolicyRepository

    代表一个策略仓库,通常只有一个类实例。但是对于ranger的一些高级用法:SecurityZone、基于tag的权限校验,则会有对应的类实例。

  • RangerPolicyEvaluator

    策略匹配表达式的抽象类,从策略的维度提供鉴权计算接口,内部通过调用不同的策略条目匹配表达式类实例的接口完成具体的鉴权逻辑。

  • RangerPolicyItemEvaluator

    策略条目表达式的抽象类,从策略条目的维度提供鉴权计算接口。

【鉴权的处理流程】

鉴权之前,插件先需要初始化,初始化时会启动一个线程定期从ranger服务端拉取策略,每次拉取策略本质上是发送一个rest请求,ranger服务端收到请求后,将具体服务的所有策略信息按json格式组织发送给插件。

6783ea1827dc8bfbbef7bd84cd67fc89.png

插件收到请求相应后,在本地磁盘缓存的同时,在内存中构造出上面提到的相关类的对象实例。

策略在本地保存后,其鉴权的流程如下图所示:

c91390588c2255c8e216bdf07d9680bf.png

  1. 在我们的代码中只需要调用RangerBasePlugin提供的isAccessAllowed、evalDataMaskPolicies、evalRowFilterPolicy这些方法触发进行权限校验。

  2. 在RangerBasePlugin的这些方法内部中,统一调用RangerPolicyEngineImpl的evaluatePolicies方法进行权限校验。不同的入口,对应不同的策略类型(POLICY_TYPE_ACCESS、POLICY_TYPE_DATAMASK、POLICY_TYPE_ROWFILTER)

  3. 通过policyengine接口获取正确的策略仓库。

  4. 从策略仓库中,根据请求资源、获取匹配的policyEvaluator列表。

  5. 对policyEvaluator列表一次调用evaluator进行权限匹配,一旦有确定结果则返回(终止循环,不进行后续的调用)

  6. 在policyEvaluator的evaluator接口中,遍历不同策略条件中的策略条目,并调用对应接口(isMatch),获取与访问动作匹配的策略条目,然后判断是否允许访问,最终得出权限校验结果。

小结一下:本文主要介绍了ranger插件中策略与鉴权相关的实现类,以及鉴权的逻辑流程。在源码的研究过程中,发现其实还有很多小细节,这里没有展开说明。例如,包含同一个资源的多个策略如何进行排序,同一个策略中的不同策略条件如何相互作用(允许条件、否决条件、排除条件)等等。这些内容对整体的流程不构成影响,后续再抽空补充。

好了,本文就介绍到这里,原创不易,点赞,在看,分享是最好的支持, 谢谢~

相关推荐阅读:

ranger插件开发(上)

ranger插件开发(下)

陈猿解码
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
APACHE RANGER 调研----ranger 原理解析
01-26
(1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限
大数据安全管理框架 Ranger 原理介绍
u013332124的专栏
01-12 1万+
文章目录一、Ranger是什么二、Ranger的权限模型三、Ranger架构Ranger-adminPluginHive Plugin 授权流程四、一些思考1. 关于组件策略的缓存2. 插件类加载器的实现Java中的类加载器双亲委派类加载机制:五、总结 一、Ranger是什么 ranger大数据领域的一个集中式安全管理框架,它可以对诸如hdfs、hive、kafka、storm等组件进行细粒度的权...
权限管理Ranger详解
Shawn的个人博客
04-16 759
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架。Ranger由此产生RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理Ranger Hive-plugin是Ranger对hive进行权限管理的插件
APACHE RANGER 调研----5.ranger 原理解析
wangwenting2016的博客
12-24 5282
1.hive 授权流程    (1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限) --->(2) 用户通过 jdbc beeline 去请求HiveServe2     --->(3)hive 权限check, 请求ranger api 获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据, plugin 会30 秒访问ranger
APACHERANGER调研----ranger原理解析
02-23
(1)管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限)(2)用户通过jdbcbeeline去请求HiveServe2(3)hive权限check,请求rangerapi获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据,plugin会30秒访问ranger服务更新策略(4)hiveserver2可以通过grant和revoke去请求ranger服务去更新策略(5)check和grant和revoke操作记录会放到ranger的audit审计日志里。主要步骤:(1)check是否有admin的权限和创建的用户数据检验(2)初始化XPortalUser和X
Apache Ranger原理与应用实践
热门推荐
大数据之路
05-15 2万+
文章目录一、业务背景现状&&需求二、大数据安全组件介绍与对比1、Kerberos2、Apache Sentry3、Apache Ranger4、为什么我们选择Ranger三、Apache Ranger系统架构及实践1、架构介绍2、组件介绍3、权限模型4、权限实现Hdfs实现原理Hbase实现原理Hive实现原理Yarn实现原理四、Ranger实践1、组权限实现 一、业务背景 大数据...
Apache Ranger原理与应用实践
01-26
大数据集群最基本的就是数据以及用于计算的资源,是一个公司的宝贵财富,我们需要将它们很好管理起来,将相应的数据和资源开放给对应的用户使用,防止被窃取、被破坏等,这就涉及到大数据安全。
ApacheRanger原理与应用实践
02-24
大数据集群最基本的就是数据以及用于计算的资源,是一个公司的宝贵财富,我们需要将它们很好管理起来,将相应的数据和资源开放给对应的用户使用,防止被窃取、被破坏等,这就涉及到大数据安全。...
heroku-ranger:Ranger 插件的 Heroku 插件
06-06
Heroku Ranger 插件 这是一个用于 Ranger Web 服务的 Heroku 插件Ranger Heroku 集成目前处于私有 alpha 阶段。 注意:这是峰值质量代码。 如果您想查看测试等,请查看分支。 添加插件 heroku plugins:install ...
ranger-cmus:用于与Cmus Audio Player集成的Ranger插件
05-19
这是用于文件管理器的插件,它添加了3个用于与音频播放器进行交互的自定义​​命令: :cmus_play :将文件/文件夹发送到播放列表。 :cmus_lib :将文件/文件夹添加到库中。 :cmus_queue :使文件/文件夹:cmus_...
使用ranger对hbase进行鉴权
关注微信公众号「Coding我不配」
03-22 6119
Ranger管理Hbase权限本文使用ranger安全框架对hbase进行权限管理,可以对hbase的table(namespace)、column-family、column设置权限。Hbase版本为1.1.3,Ranger版本为0.5.3. Hbase完全分布式安装 Ranger-hbase-plugin-0.5.3安装 hbase鉴权测试 Hbase完全分布式安装本文是将Hbase安装在单节点
Apache Ranger Hadoop 集群权限框架_了解Ranger---Ranger工作笔记001
添柴程序猿的专栏
07-25 1038
通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问HDFS文件夹、HDFS文件、数据库、表、字段权限。这些策略会由Ranger提供的轻量级的针对不同Hadoop体系中组件的插件来执行。插件会在Hadoop的不同组件的核心进程启动后,启动对应的插件进程来进行安全管理。1.Apacheranger是一个Hadoop集群权限框架,提供操作、监控、管理复杂的数据权限,它提供一个集中的管理机制,管理基于yarn的Hadoop生态圈的所有数据权限。.........
一个关于鉴权逻辑的物料组件设计(vue)
tcr931117355的博客
03-31 225
工作中遇到一个棘手的问题,就是鉴权逻辑,因为公司H5应用很多,而开发的人员不同每次都会因为相同的交互业务逻辑 而写出不同的判断代码,维护起来特别麻烦。
[Bigdata]Ranger权限管理(用户认证kerberos)
红尘道,红尘练心
03-25 2367
UI界面:http://192.168.101.179:6080 (admin/bigdata123)组件进程名启动命令UnixAuthenticationService(root用户可见)ranger-usersync start/stop/restart(root用户下启动)Hive Plugin启动命令:至此完成了一下功能通过ranger来对hiveserver2的权限进行验证usersync组件定时同步LDAP的hive用户到Ranger中。
jar包增量更新分析
junlaiyan的专栏
05-16 290
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 653
本文主要提供用java实现的拼图小游戏源代码。
分布式锁2-Zookeeper分布式锁实战
最新发布
qq_43676797的博客
05-19 141
使用curator操作Zookeeper进行实战;:Apache Curator包含一套高级API框架和工具类,它 是Apache ZooKeeper 的Java 客户端库。
命令执行漏洞(二)
XLbb的博客
05-15 924
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 265
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
ranger cdh
09-05
Ranger CDH是Apache Ranger和Cloudera Distribution of Hadoop (CDH)的结合。Apache Ranger是一种用于集中管理Hadoop生态系统中的权限和安全策略的开源框架,而CDH则是由Cloudera提供的一套企业级Hadoop解决方案。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值