Ranger集成Kerberos

1. 生成用户主体

　　在kerberos服务器生成用于ranger的用户主体：

kadmin.local
addprinc -randkey http/[email protected]
addprinc -randky root/[email protected]
ktadd -norandkey -kt rangadmin.keytab http/[email protected] root/[email protected]

　　拷贝rangeradmin.keytab到ranger admin服务器

2. 修改配置

　　修改ranger admin的install properties 文件

　　主要修改以下几项配置：

#------------ Kerberos Config -----------------
spnego_principal=HTTP/[email protected]
spnego_keytab=/data/ranger/ranger-2.1.0-SNAPSHOT-admin/rangadmin.keytab

admin_principal=rangadmin/[email protected]
admin_keytab=/data/ranger/ranger-2.1.0-SNAPSHOT-admin/rangadmin.keytab
lookup_principal=rangadmin/[email protected]
lookup_keytab=/data/ranger/ranger-2.1.0-SNAPSHOT-admin/rangadmin.keytab

hadoop_conf=/data1/hadoop/hadoop/etc/hadoop/

3. 初始化

　　修改完配置以后，重新初始化./setup.sh和./set_globals.sh

4. 插件配置

4.1. hdfs插件配置

　　hdfs插件创建service:  hdfsRepo的参数Authentication Type选择kerberos类型，用于testConnection功能

4.2. hive插件配置

　　hive插件创建service: hivedev的参数jdbc.url填写格式：

jdbc:hive2://node3:10000/;principal=root/[email protected]

　　principal=root/[email protected]为hive-site.xml中的配置项：hive.server2.authentication.kerberos.principal

4.3. 其他插件配置

　　ranger每一个插件开启kerberos后，拉取策略到本地需要在ranger-admin的web页面创建service时增加如下配置项，例如：　　

policy.download.auth.users  hdfs

　　hdfs用户为hdfs组件的启动用户

　　注：

　　　　如果不配置，就没有权限拉取策略，插件会集成失败

5. 参考资料

https://www.cnblogs.com/yjt1993/p/11888044.html