Управление ролями в Ranger Admin UI

Сергей Тихомиров

Обзор

Роль в Apache Ranger представляет собой комбинацию пользователей, групп и других ролей. Role-based авторизация поддерживается благодаря наличию ролей в Ranger.

Каждому пользователю в Ranger Admin UI присвоена одна из трех внутренних системных ролей:

  • User — роль с базовыми правами.

  • Admin — роль со всеми привилегиями для модулей Ranger, кроме Key Manager. Однако такие пользователи могут выдать права на Key Manager сами себе.

  • Auditor — роль со всеми привилегиями для модулей Ranger.

Также существуют кастомные роли, которые создаются администраторами. Управление такими ролями, используемыми в политиках Ranger для сервисов, осуществляется в Ranger Admin UI на вкладке Settings → Users/Groups/Roles → Roles. Здесь можно настроить права для роли, а также для группы или пользователя внутри политики. Внутренние права для модулей Ranger (Settings → Permissions) не управляются кастомными ролями. Также кастомную роль нельзя присвоить пользователю в User → Profile.

Вкладка Roles
Вкладка Roles
Вкладка Roles
Вкладка Roles

Создание кастомной роли

Чтобы добавить новую кастомную роль, следуйте шагам ниже:

  1. На странице Settings → Users/Groups/Roles откройте вкладку Roles и нажмите Add New Role.

    Создание новой роли
    Создание новой роли
    Создание новой роли
    Создание новой роли

  2. На открывшейся странице Role Create заполните необходимые поля.

    Данные о роли
    Данные о роли
    Данные о роли
    Данные о роли

  3. Нажмите Save внизу страницы. Созданная роль появится на вкладке Roles.

Редактирование кастомной роли

Чтобы отредактировать кастомную роль, следуйте шагам ниже:

  1. На странице Settings → Users/Groups/Roles откройте вкладку Roles и нажмите в столбце Role Name на имя роли, которую хотите поменять.

    Редактирование роли
    Редактирование роли
    Редактирование роли
    Редактирование роли

  2. На открывшейся странцие Role Edit измените необходимую информацию.

    Изменение данных о роли
    Изменение данных о роли
    Изменение данных о роли
    Изменение данных о роли

  3. Нажмите Save внизу страницы.

Удаление кастомной роли

Чтобы удалить кастомную роль, следуйте шагам ниже:

  1. На странице Settings → Users/Groups/Roles откройте вкладку Roles и поставьте галочку возле названия роли, которую хотите удалить.

  2. Нажмите ranger delete service btn.

    Удаление роли
    Удаление роли
    Удаление роли
    Удаление роли

  3. Подтвердите действие нажатием OK в появившемся окне.

Присвоение ролей

Когда LDAP-пользователи импортируются в Ranger, каждому пользователю присваивается внутренняя роль (по умолчанию — User). Вы можете изменить роли для пользователей или групп пользователей, применив mapping-фильтр. Для этого измените содержимое файла ranger-ugsync-site.xml:

ranger.usersync.group.based.role.assignment.rules: ROLE_SYS_ADMIN:g:group_name1, group_name2
ranger.usersync.group.based.role.assignment.rules: ROLE_SYS_ADMIN:u:username1, username2
Сопоставление ролей
Внешняя роль Внутренняя роль

ROLE_USER

User

ROLE_SYS_ADMIN

Admin

ROLE_ADMIN_AUDITOR

Auditor

Роли ROLE_KEY_ADMIN и ROLE_KEY_ADMIN_AUDITOR недоступны для присвоения и не могут быть использованы в фильтре. Пользователи и группы с недоступными ролями не будут добавлены в Ranger Admin UI.

Важная информация

 
Чтобы измененный mapping-фильтр применился, запустите действие Restart для Ranger. Чтобы удалить фильтр и восстановить настройки по умолчанию, удалите импортированных пользователей и запустите действие Restart для Ranger.

Опция LDAP sync source for Ranger Admin authentication должна быть активирована в конфигурации сервиса Ranger в ADCM.

Убедитесь, что LDAP-параметры имеют значения, приведенные ниже:

ranger.usersync.ldap.deltasync: true
ranger.usersync.group.searchenabled: true
ranger.usersync.group.search.first.enabled: false
ranger.usersync.group.usermapsyncenabled: true

Больше информации о параметрах можно найти в статье Конфигурационные параметры.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней