文檔編寫目的
在企業的生產環境中大多使用了OpenLDAP來進行用戶的管理,因此本篇文章主要介紹如何在CDP DC7.0.3集群上為Ranger集成RedHat7的OpenLDAP,集成只針對使用LDAP用戶登陸Ranger的Web UI,關於Ranger的安裝,請參考之前的文章《
0752-7.0.3-如何在CDP DC7.0.3安裝Ranger》。- 測試環境
1.操作系統Redhat7.6
2.集群版本CDP DC7.0.3
3.OpenLDAP在集群所在服務器已部署
4.使用root用戶操作
配置Ranger集成LDAP認證
1.進入Ranger服務,點擊“配置”並搜索“ldap”
2.修改集成LDAP相關的配置
本小節中將集成LDAP時需要修改的相關配置一一列出並介紹配置含義。
下面截圖中涉及修改的相關配置如下表:
至此Ranger的配置修改完成,此處配置修改參考官網鏈接如下:
<code>https://docs.cloudera.com/runtime/7.0.3/security-ranger-authentication-unix-ldap-ad/topics/security-ranger-authentication-ldap-settings.html/<code>
3.修改完成後重啟服務
Ranger集成LDAP驗證
3.1 使用OS用戶登陸Ranger
1.在集群內三個節點創建OS測試用戶,並指定密碼123456
2.使用該測試用戶登陸Ranger
如上圖所示,OS用戶登陸Ranger失敗。
3.2 使用LDAP用戶登陸Ranger
1.查看測試用的LDAP用戶test_ranger,密碼為123456
2.使用該測試用戶登陸Ranger
如上圖所示,LDAP用戶登陸成功。
總結
1.本文檔的Ranger集成LDAP主要是針對使用LDAP用戶來登陸Ranger的Web UI,集成後LDAP用戶登陸Ranger都是普通權限,並沒有管理員的權限。
2.集成後登陸Ranger的LDAP用戶會自動同步到Ranger的用戶列表,使用管理員登陸後可以查看,如下圖:
3.按照本文檔中Ranger的配置集成LDAP,那麼官網配置列表中的ranger.ldap.group.searchbase參數可以置空,否則會與其他參數互斥。