Zeppelin集成Ranger实现用户权限管控

最新推荐文章于 2024-04-16 16:57:23 发布
最新推荐文章于 2024-04-16 16:57:23 发布
阅读量2k 收藏 7
点赞数 3
分类专栏: 大数据 zeppelin 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010543388/article/details/107672158
版权

前言

在Hadoop生态中,典型的鉴权方案:
1、LDAP+Kerberos+Sentry
主要应用在CDH平台,支持 Hive、Impala、HDFS 等主流组件,不支持 Hbase、Yarn、Kafka、Storm等常见组件。

2、LDAP+Kerberos+Ranger
主要应用在Apache Hadoop或HDP平台,- 支持组件丰富,如 HDFS、HBase、Hive、Yarn、Kafka、Storm 等,提供丰富Rest Api,且集成其他组件相对容易。

实际运行过程中,Kerberos解决的场景:

  • 服务认证过程有效地防止 broker datanode regionserver 等组件冒充加入集群
  • 解决了服务端到服务端的认证的同时也解决了客户端到服务端的认证

但它同时也存在短板,服务认证过程中为了安全性使用临时 ticket,认证信息会失效,用户多的情况下重新认证比较繁琐,对于服务而言太重了,也给运维过程带来比较多工作量。数据沙盒安全管控项目使用场景上更侧重于用户空间使用隔离,服务认证方面不是非常必须,Ranger自带的用户体系及权限管理控制服务能满足全部鉴权要求,理论上可以舍弃LDAP+Kerberos。

那么Ranger是怎么在HDFS上工作的呢?
在这里插入图片描述
对于 HDFS/YARN 这两者服务,默认打开Ranger鉴权模型后,先走Ranger策略,如果Ranger策略中没有相应策略,那么默认走底层 HDFS/YARN 自身的权限控制。即HDFS ACL和YARN自带的<用户-属组>提交队列鉴权。

方案设计说明

当前数据沙盒项目主要以Zeppelin作为服务入口,数据同步到HDFS后,无需维护表schema信息,用户直接使用sparksql读写文件,极为方便,且Zeppelin自身支持各种各样Interpreter使用,远比Hue使用场景更广。因此方案设计之初确定调研方向为Zeppelin+Ranger:
权限控制链路:

  • Zeppelin --> Ranger认证 --> HDFS文件
  • Zeppelin --> LDAP --> Ranger认证 --> HDFS文件

方案1:经咨询Apache Zeppelin PMC,目前Zeppelin社区没有直接集成Ranger案例,需开发实现用shrio适配ranger,对于笔者而言集成难度大,暂时不予考虑。
方案2:因Zeepelin shiro配置支持LDAP作为用户/组管理,Ranger也支持LDAP作为用户/组管理,所以将LDAP作为Zeepelin <–> Ranger之间的桥梁,实现用户/组集中管理,可行性高。

基于此,以下为方案2的实现过程:

  • LDAP安装配置
  • Zeppelin集成LDAP
  • Ranger安装与集成LDAP

本文中的所有操作实现均在AWS EMR上

一、LDAP安装配置

AWS EMR 操作系统镜像为Amazon Linux AMI release 2018.03,此系统镜像基于Centos6.x封装,安装不了FreeIPA,若能安装FreeIPA,能极大地提高OpenLDAP与LDAPadmin安装与运维过程效率。

安装配置过程参考笔者其他博文

二、Zeppelin集成LDAP

1、修改zeppelin-site.xml

<property>
  <name>zeppelin.anonymous.allowed</name>
  <value>false</value>
  <description>Anonymous user allowed by default</description>
</property>

2、配置shiro.ini

[users]

[main]
ldapRealm = org.apache.zeppelin.realm.LdapRealm
ldapRealm.contextFactory.url = ldap://ip-172-16-15-101:389

# 搜索人匹配: uid={0} 也可以是 cn={0},具体看 ldap 中怎么配置user
ldapRealm.userDnTemplate = uid={0},ou=People,dc=pupu,dc=com

ldapRealm.contextFactory.authenticationMechanism = simple

# ldap管理账号
ldapRealm.contextFactory.systemUsername= cn=Manager,dc=pupu,dc=com

# ldap管理账户密码
ldapRealm.contextFactory.systemPassword= Aojf+pupuni123

ldapRealm.pagingSize = 200
ldapRealm.authorizationEnabled=true
ldapRealm.searchBase = dc=pupu,dc=com

# 在 ou=People 域下面查找
ldapRealm.userSearchBase = ou=People,dc=pupu,dc=com

# dc=pupu,dc=com 是根目录,ou=group 是一个分支,意思在 Group 组下面查找
ldapRealm.groupSearchBase = ou=Group,dc=pupu,dc=com

# 创建 ldap 组的类名
ldapRealm.groupObjectClass= posixGroup

ldapRealm.userLowerCase = true
ldapRealm.userSearchScope = subtree;
ldapRealm.groupSearchScope = subtree;

# 如果为true的话 ,不使用 groupSearchFilte r配置的匹配条件 
ldapRealm.groupSearchEnableMatchingRuleInChain = true

# 第一个 admin 是 ldap 上的组的名字,第二个 admin 是 zeppelin 中role的名字(即管理员角色),若是有多个组映射以逗号隔开
ldapRealm.rolesByGroup = admin: admin

sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
cookie = org.apache.shiro.web.servlet.SimpleCookie
cookie.name = JSESSIONID
cookie.httpOnly = true
# cookie.secure = true
sessionManager.sessionIdCookie = $cookie
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.globalSessionTimeout = 86400000
shiro.loginUrl = /api/login
[roles]
role1 = *
admin = *
[urls]
/api/interpreter/setting/restart/** = authc
/api/interpreter/** = authc, roles[admin]
/api/configurations/** = authc, roles[admin]
/api/credential/** = authc, roles[admin]
/** = authc

这里特别注意一个参数:

ldapRealm.rolesByGroup = admin: admin

意思是admin组中的所有ldap用户都是zeppelin 管理员role,admin的ldif如下:

dn: cn=admin,ou=Group,dc=pupu,dc=com
objectClass: posixGroup
objectClass: top
cn: admin
gidNumber: 510

可以通过ldapsearch看到这个组中包含admin用户,即zeppelin管理员,admin用户的ldif:

# admin, People, pupu.com
dn: uid=admin,ou=People,dc=pupu,dc=com
uid: admin
cn: admin
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {SSHA}cDf+JEg19iFsOlf4B1BSpE0FWbHMo5cU
shadowMin: 0
shadowMax: 99999
shadowWarning: 0
loginShell: /bin/bash
uidNumber: 510
gidNumber: 510
homeDirectory: /home/admin

3、验证

使用phpLDAPadmin将admin用户memberOf加到admin组,按照前面<1~2>步骤配置完,启动后使用admin用户登录,发现无法进入创建Interpreter页面,即没有admin权限,查看日志

LoginRestApi.java[postLogin]:206) - {"status":"OK","message":"","body":{"principal":"admin","ticket":"227fb9e2-2833-48a5-92c2-9fb94d50db6d","roles":"[]"}}

从日志可以看出roles为空,说明ldap group和zeppelin role没有映射成功,查看zeppelin LdapRealm这部分代码,发现zeppelin到ldap中拉取组信息时使用的检索表达式为:

(&amp;(objectClass=posixGroup)(member:1.2.840.113556.1.4.1941:=uid=admin))

因为ldap组中使用memberUid保存用户的uid,所以这个表达式是无法检索到组信息,也就无法完成ldap group和zeppelin role的绑定。尝试过在shiro中将ldapRealm.groupSearchEnableMatchingRuleInChain参数项改成false,添加:ldapRealm.groupSearchFilter = (&(objectclass=posixGroup)(memberUid=uid={0},ou=People,dc=pupu,dc=com))以实现自定义搜索组信息,依旧无法检索到组信息,最后只能以如下修改zeppelin LdapRealm代码解决此问题。

4、解决方法

修改源码
org.apache.zeppelin.realm.LdapRealm

# 第一处修改
private static final String MATCHING_RULE_IN_CHAIN_FORMAT =
        "(&amp;(objectClass=%s)(%s))";
        
# 第二处修改
searchResultEnum = ldapCtx.search(
        getGroupSearchBase(),
        String.format(
                MATCHING_RULE_IN_CHAIN_FORMAT,
                groupObjectClass,
                userDn.replace("uid","memberUid")),
        searchControls);

重新打包

 # nohup mvn clean package -pl zeppelin-server -Denforcer.skip  -Dcheckstyle.skip -DskipRat -DskipTests > maven.log &;

编译时带上参数:-Denforcer.skip -Dcheckstyle.skip -DskipRat,不然mvn build过程会出错,编译完成后拷贝zeppelin-server

最低0.47元/天 解锁文章
松龄
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
window下的Zeppelin安装与用户配置(折磨之路)
百物易用是苏生
07-07 3773
一:zeppelin 官网下载: https://zeppelin.apache.org/download.html (一开始下的netinst比较少的interpret版本,后来不成功,就换成全all的了,其实都一样,只玩spark用netinst就行,后续需要添加hive、shell啥,缺啥补啥就行,当然为了一劳永逸,下载all就完事了,就是启动太慢) 跳转到:http://www....
zeppelin集成ldap
10-27
zeppelin集成ldap,很全面的安装使用等.......................................................................................................................................................................
Zeppelin 实战:设置访问登录权限
SmartSi
06-05 8401
1. 概述我们在浏览器中输入 http://localhost:8080/ 进入Zeppelin的主页,不需要用任何的验证就可以进入主页面:换句话说,任何人在浏览器输入上面地址(本机),都可以访问Zeppelin里的所有笔记. 在上图中我们也可以看到我们的登陆用户是anonymous.2. 修改匿名访问Zeppelin启动默认是匿名(anonymous)模式登录的.如果设置访问登录权限,需要设置c
权限管理Ranger详解
最新发布
Shawn的个人博客
04-16 1120
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监用户访问的框架。Ranger由此产生RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理Ranger Hive-plugin是Ranger对hive进行权限管理的插件。
zeppelin使用shiro进行权限验证
BruceBupt的博客
06-03 2238
zeppelin使用shiro进行权限制,默认情况下是anonymous,即不用登录即可使用。如果要增加登录验证,可以按照下列步骤操作。修改配置后需要重启才能生效。 cd ${zeppelin} ./bin/zeppelin-daemon.sh restart 1.禁止匿名访问 如果没有conf/zeppelin-site.xml,那么执行 cd $(zeppelin)/conf c...
自定义Ranger插件 Zeppelin集成Ranger方案 (非LDAP模式)
EdwardWang_的博客
04-23 1761
目录 序: 一、Zeppelin权限部分分析 1、zeppelin-note权限分析 2、zeppelin-shiro权限分析 二、shiro权限原理分析及Ranger原理分析 1、shiro认证授权原理 2、Ranger认证授权原理 三、自定义Ranger插件 1、编写shiroService 2、编写资源json文件 3、编写Ranger授权类 四、自定义Shiro拦截器(RangerFilter) 五、测试 序: 最近项目需求要用RangerZeppelin管...
gitlab 将管理员权限移交给ldap账户_Zeppelin集成Ranger实现用户权限
weixin_39781186的博客
11-24 739
前言在Hadoop生态中,典型的鉴权方案:1、LDAP+Kerberos+Sentry主要应用在CDH平台,支持 Hive、Impala、HDFS 等主流组件,不支持 Hbase、Yarn、Kafka、Storm等常见组件。2、LDAP+Kerberos+Ranger主要应用在Apache Hadoop或HDP平台,支持组件丰富,如 HDFS、HBase、Hive、Yarn、Kafka、...
虚拟机zeppelin安装
10-18
虚拟机zeppelin安装
让Spark如虎添翼的Zeppelin–基础篇
01-29
Spark是一个非常好的计算平台,支持多种语言,同时基于内存的计算速度也非常快。整个开源社区也很活跃。但是Spark在易用性上面还是有一些美中不足。对于刚接触的人来说,上手以及环境搭建还是有一些困难。...
zeppelin-iotdb-0.13.0-jar-with-dependencies.jar
06-15
iotdb 0.13 zeppelin 解释器
Zeppelin原理简介
01-27
Zeppelin是一个基于Web的notebook,提供交互数据分析和可视化。后台支持接入多种数据...本文主要介绍Zeppelin中Interpreter和SparkInterpreter的实现原理。Zeppelin中最核心的概念是Interpreter,interpreter是一个插
sentry 权限简介
05-18
sentry 授权 hadoop设置 制数据访问 Sentry可以制数据访问,并对已通过验证的用户提供数据访问特权。
zeppelin集成openldap,以及admin用户设置
帆了个帆的专栏
09-05 2318
之前写过一篇文章集成FreeIPA,今天尝试集成OpenLdap,出现了一些问题,这里记录下配置过程 修改zeppelin-site.xml <property> <name>zeppelin.anonymous.allowed</name> <value>false</value> <description>An...
Ranger 配置 LDAP 账号支持 ( 基于 FreeIPA + HDP 3.0 + Ambari 2.7.0)
luoyoumou的专栏
07-31 5173
-- 参考:https://community.hortonworks.com/questions/1018/how-to-configure-ranger-usync-for-ldap-ssl.html --      https://community.hortonworks.com/articles/16696/ranger-ldap-integration.html --      htt...
hadoop安全保护机制(kerberos + ldap)
wjandy0211的博客
07-17 1426
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,是一种基于X.500目录访问协议的集中账号管理架构的实现协议标准Ldap运行在TCP/IP或其他面向连接的传输服务之上。
zeppelin权限问题
anzhuangguai的专栏
04-21 2065
OS: hdp2.5 现象:重起后齐柏林不工作 查看日志是因为没/var/run权限 修改方法 mkdir -p /var/run/zeppelin chown zeppelin:zeppelin /var/run/zeppelin https://community.hortonworks.com/questions/44451/zeppelin-s
Hive+LDAP+Sentry
weixin_34204057的博客
04-26 397
为什么80%的码农都做不了架构师?>>> ...
Impala+LDAP+Sentry
weixin_33700350的博客
04-26 352
为什么80%的码农都做不了架构师?>>> ...
100.如何用OpenLDAP的用户进行Sentry授权
大勇若怯任卷舒
02-11 1175
100.1 演示环境介绍 OpenLDAP:2.4.44 CM和CDH版本:5.13.1 OS为Redhat:7.3 已启用Kerberos OpenLDAP服务和CDH各个服务已安装和集成 100.2 操作演示 1.OpenLDAP环境描述 主节点IP地址 186.31.24.169 主节点HOSTNAME ip-186-31-24-169.ap-southeast-1.compute.internal 备节点IP地址 186.31.16.68 备节点HOSTNAME ip-18
zeppelin的web页面create hive的集成环境properties如何配置
07-11
要在 Zeppelin 的 web 页面中创建 Hive 的集成环境,你需要进行以下配置: 1. 打开 Zeppelin 的 web 页面,并登录到你的账户。 2. 在页面右上角的菜单中,点击 "Interpreter"(解释器)选项。 3. 在解释器页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值