Конфигурационные параметры Ranger

Сергей Тихомиров
Credentials
Parameter Description Default value

Password for admin user

Пароль для администратора Ranger

 — 

Password for keyadmin user

Пароль для администратора Ranger KMS

 — 

Password for rangerusersync user

Пароль для пользователя с правами добавления пользователей и групп в Ranger Admin как часть механизма синхронизации с LDAP/AD или UNIX

 — 

Credstore password opts

Определяет, нужен ли пароль для credstore

password-file
dbks-site.xml
Parameter Description Default value

ranger.db.encrypt.key.password

Пароль мастер-ключа шифрования

 — 

ranger.ks.jpa.jdbc.password

Пароль пользователя базы данных

 — 

ranger.ks.jpa.jdbc.url

Строка подключения JDBC для БД Ranger KMS. Оставьте поле пустым для автозаполнения при следующей реконфигурации

jdbc:mysql://{{ groups['mysql.master'][0] | d(omit) }}:3306/rangerkms

ranger.ks.jpa.jdbc.driver

Имя класса JDBC-драйвера для БД Ranger KMS

com.mysql.jdbc.Driver

ranger.ks.jdbc.sqlconnectorjar

Путь к JAR-файлу JDBC-драйвера для БД Ranger KMS

/usr/share/java/jdbc-mysql-connector.jar

ranger.ks.jpa.jdbc.user

Имя пользователя базы данных для запросов

rangerkms

ranger.ks.kerberos.keytab

Kerberos keytab-файл для Ranger KMS

 — 

ranger.ks.kerberos.principal

Kerberos-принципал для Ranger KMS

 — 
Ranger KMS install.properties
Parameter Description Default value

DB_FLAVOR

СУБД, используемая для управления БД с метаданными Ranger KMS

MYSQL

Custom install.properties

Дополнительные параметры для установки

install.properties
ranger-admin-site.xml
Parameter Description Default value

ranger.audit.solr.urls

Используется для подключения Ranger Admin к Solr для аудита

 — 

ranger.audit.solr.zookeepers

Используется для подключения Ranger Admin к инстансу Zookeeper для Solr для аудита

 — 

ranger.audit.source.type

Хранилище данных аудита. На данный момент поддерживается только Solr

solr

ranger.authentication.method

Методы аутентификации (ACTIVE DIRECTORY, LDAP, NONE), используемые для входа в Ranger Admin

NONE

ranger.jpa.jdbc.driver

Имя класса JDBC-драйвера для БД Ranger Admin

com.mysql.jdbc.Driver

ranger.jdbc.sqlconnectorjar

Путь к JAR-файлу JDBC-драйвера для БД Ranger Admin

/usr/share/java/jdbc-mysql-connector.jar

ranger.jpa.jdbc.password

Пароль для базы данных Ranger Admin

 — 

ranger.jpa.jdbc.url

Строка подключения JDBC для БД Ranger Admin. Оставьте поле пустым для автозаполнения при следующей реконфигурации

jdbc:mysql://{{ groups['mysql.master'][0] | d(omit) }}:3306/ranger

ranger.jpa.jdbc.user

Имя пользователя для базы данных Ranger Admin

rangeradmin

ranger.service.http.port

HTTP-порт для Ranger Admin

6080

ranger.service.https.port

HTTPS-порт для Ranger Admin

6182

ranger.service.shutdown.port

HTTP-порт, который будет использоваться для корректного выключения службы

6085

ranger.solr.audit.user

Имя пользователя для подключения к Solr для аудита

rangeraudit

ranger.solr.audit.user.password

Пароль для пользователя Solr

 — 

ranger.admin.balancer.host

URL хоста с установленным балансировщиком

 — 

ranger.admin.balancer.port

Порт, на котором слушает балансировщик

 — 

ranger.admin.kerberos.token.valid.seconds

Время (в секундах) для валидации токена Kerberos

 — 
Ranger Admin install.properties
Parameter Description Default value

DB_FLAVOR

СУБД, используемая для управления БД с метаданными Ranger Admin

MYSQL

Custom install.properties

Дополнительные параметры для установки

install.properties
core-site.xml
Parameter Description Default value

hadoop.security.key.provider.path

Провайдер ключей для взаимодействия с ключами шифрования при чтении/записи в зашифрованной области

kms://http@<ranger-kms-host>:9292/kms

User managed hadoop.security.auth_to_local

Определяет, использовать ли пользовательское значение параметра hadoop.security.auth_to_local

false

hadoop.security.auth_to_local

Сопоставляет принципалов Kerberos с локальными пользователями

RULE:[1:$1@$0](.*@AD.RANGER-TEST)s/@.*//RULE:[2:$1@$0](hbase@AD.RANGER-TEST)s/.*/hbase/RULE:[2:$1@$0](hdfs-namenode@AD.RANGER-TEST)s/.*/hdfs/RULE:[2:$1@$0](hdfs-datanode@AD.RANGER-TEST)s/.*/hdfs/RULE:[2:$1@$0](rangeradmin@AD.RANGER-TEST)s/.*/ranger/RULE:[2:$1@$0](rangerkms@AD.RANGER-TEST)s/.*/keyadmin/RULE:[2:$1@$0](rangertagsync@AD.RANGER-TEST)s/.*/rangertagsync/RULE:[2:$1@$0](rangerusersync@AD.RANGER-TEST)s/.*/rangerusersync/RULE:[2:$1@$0](hive@AD.RANGER-TEST)s/.*/hive/RULE:[2:$1/$2@$0](yarn-resourcemanager/.*@AD.RANGER-TEST)s/.*/yarn/RULE:[2:$1/$2@$0](yarn-nodemanager/.*@AD.RANGER-TEST)s/.*/yarn/RULE:[2:$1/$2@$0](yarn/.*@AD.RANGER-TEST)s/.*/yarn/RULE:[2:$1/$2@$0](mapreduce-historyserver/.*@AD.RANGER-TEST)s/.*/mapred/DEFAULT
ranger-kms-audit.xml
Parameter Description Default value

xasecure.audit.destination.solr.batch.filespool.dir

Каталог, в котором хранятся spool-файлы, когда буфер в памяти переполнен

/srv/ranger/kms/audit_solr_spool
ranger-kms-security.xml
Parameter Description Default value

ranger.plugin.kms.policy.cache.dir

Директория, где хранятся политики Ranger после успешного извлечения из источника

/srv/ranger/kms/policycache
ranger-kms-site.xml
Parameter Description Default value

ranger.service.http.port

HTTP-порт для Ranger Admin

9292

ranger.service.https.port

HTTPS-порт для Ranger Admin

9393

ranger.service.shutdown.port

HTTP-порт, который будет использоваться для корректного выключения службы

7085

ranger.contextName

Веб-контекст Ranger

/kms

ranger.service.host

Хост сервиса Ranger

localhost
Configure SSL KMS
Parameter Description Default value

ranger.https.attrib.keystore.file

Путь к keystore-файлу

 — 

ranger.service.https.attrib.keystore.pass

Пароль от keystore-файла

 — 

ranger.https.attrib.truststore.file

Путь к truststore-файлу

 — 

ranger.service.https.attrib.truststore.pass

Пароль от truststore-файла

 — 

ranger.service.https.attrib.client.auth

Определяет возможность аутентификации для клиентов. Возможные значения:

  • want — активирует двустороннюю аутентификацию SSL (требуются сертификаты на клиентских машинах). Происходит валидация клиентских сертификатов от всех агентов, но не при запросах от веб-приложений.

  • false — активирует одностороннюю аутентификацию SSL.

false

ranger.service.https.attrib.ssl.protocol

Активный протокол SSL

TLSv1.2
Configure SSL Admin
Parameter Description Default value

ranger.https.attrib.keystore.file

Путь к keystore-файлу

 — 

ranger.service.https.attrib.keystore.pass

Пароль от keystore-файла

 — 

ranger.service.https.attrib.clientAuth

Определяет необходимость аутентификации для клиентов. Возможные значения:

  • want — активирует двустороннюю аутентификацию SSL (требуются сертификаты на клиентских машинах). Происходит валидация клиентских сертификатов от всех агентов, но не при запросах от веб-приложений.

  • false — активирует одностороннюю аутентификацию SSL.

 — 

ranger.service.https.attrib.client.auth

Определяет возможность аутентификации для клиентов. Возможные значения:

  • want — активирует двустороннюю аутентификацию SSL (требуются сертификаты на клиентских машинах). Происходит валидация клиентских сертификатов от всех агентов, но не при запросах от веб-приложений.

  • false — активирует одностороннюю аутентификацию SSL.

false

ranger.service.https.attrib.ssl.protocol

Активный протокол SSL

TLSv1.2
Configure SSL UGSINK
Parameter Description Default value

ranger.usersync.truststore.file

Путь к truststore-файлу

 — 

ranger.usersync.truststore.password

Пароль от truststore-файла

 — 

ranger.usersync.keystore.file

Путь к keystore-файлу

 — 

ranger.usersync.keystore.password

Пароль от keystore-файла

 — 

ranger.usersync.https.ssl.enabled.protocols

Поддерживаемые протоколы SSL

TLSv1.2
kms-site.xml
Parameter Description Default value

hadoop.kms.authentication.kerberos.name.rules

Правила для разрешения имен принципалов Kerberos

RULE:[1:$1@$0](.*@AD.RANGER-TEST)s/@.*//RULE:[2:$1@$0](hbase@AD.RANGER-TEST)s/.*/hbase/RULE:[2:$1@$0](hdfs-namenode@AD.RANGER-TEST)s/.*/hdfs/RULE:[2:$1@$0](hdfs-datanode@AD.RANGER-TEST)s/.*/hdfs/RULE:[2:$1@$0](rangeradmin@AD.RANGER-TEST)s/.*/ranger/RULE:[2:$1@$0](rangerkms@AD.RANGER-TEST)s/.*/keyadmin/RULE:[2:$1@$0](rangertagsync@AD.RANGER-TEST)s/.*/rangertagsync/RULE:[2:$1@$0](rangerusersync@AD.RANGER-TEST)s/.*/rangerusersync/RULE:[2:$1@$0](hive@AD.RANGER-TEST)s/.*/hive/RULE:[2:$1/$2@$0](yarn-resourcemanager/.*@AD.RANGER-TEST)s/.*/yarn/RULE:[2:$1/$2@$0](yarn-nodemanager/.*@AD.RANGER-TEST)s/.*/yarn/RULE:[2:$1/$2@$0](yarn/.*@AD.RANGER-TEST)s/.*/yarn/RULE:[2:$1/$2@$0](mapreduce-historyserver/.*@AD.RANGER-TEST)s/.*/mapred/DEFAULT

hadoop.kms.authentication.zk-dt-secret-manager.enable

Определяет, использовать ли ZKDelegationTokenSecretManager для сохранения TokenIdentifiers и DelegationKeys в ZooKeeper

false

hadoop.kms.authentication.zk-dt-secret-manager.zkConnectionString

Строка подключения к ZooKeeper: перечисленные через запятую хосты и порты

 — 

hadoop.kms.authentication.zk-dt-secret-manager.znodeWorkingPath

Путь к znode сервиса ZooKeeper, где инстансы KMS будут хранить секрет. Все инстансы KMS, которым требуется координация, должны указывать на один путь

 — 

hadoop.kms.authentication.zk-dt-secret-manager.zkAuthType

Тип аутентификации ZooKeeper. Возможные значения: none (по умолчанию) или sasl (Kerberos)

none

hadoop.kms.authentication.zk-dt-secret-manager.kerberos.keytab

Абсолютный путь к keytab Kerberos с данными для подключения к ZooKeeper. Используется только если параметр hadoop.kms.authentication.zk-dt-secret-manager.zkAuthType имеет значение sasl

 — 

hadoop.kms.authentication.signer.secret.provider

Тип хранения секрета для подписи аутентификационных cookies. Возможные значения: random (по умолчанию), string и zookeeper. Если в системе находится несколько инстансов KMS, следует использовать zookeeper

random

hadoop.kms.authentication.signer.secret.provider.zookeeper.connection.string

Строка подключения к ZooKeeper: перечисленные через запятую хосты и порты

 — 

hadoop.kms.authentication.signer.secret.provider.zookeeper.path

Путь к znode сервиса ZooKeeper, где инстансы KMS будут хранить секрет. Все инстансы KMS, которым требуется координация, должны указывать на один путь

 — 
ranger-ugsync-site.xml
Parameter Description Default value

ranger.usersync.port

Порт для службы аутентификации Unix

5151

ranger.usersync.role.assignment.list.delimiter

Разделитель при синхронизации ролей с пользователями, группами и ролями в Ranger Admin

&amp;

ranger.usersync.sleeptimeinmillisbetweensynccycle

Тайм-аут (в миллисекундах) между операциями синхронизации пользователя операции

 — 

ranger.usersync.unix.minGroupId

Минимальный идентификатор группы для начала синхронизации. Этот параметр используется для того, чтобы избежать синхронизации пользователей уровня системы UNIX в Ranger Admin

500

ranger.usersync.unix.minUserId

Минимальный идентификатор пользователя для начала синхронизации. Этот параметр используется для того, чтобы избежать синхронизации пользователей уровня системы UNIX в Ranger Admin

500

ranger.usersync.username.groupname.assignment.list.delimiter

Разделитель при синхронизации пользователей и групп в Ranger Admin

,

ranger.usersync.users.groups.assignment.list.delimiter

Разделитель при синхронизации пользователей и групп с указанными ролями в Ranger Admin. Этот разделитель отделяет пользователей и группы от соответствующих ролей

:
Примечание
Все разделители не должны содержать символов, которые не допускаются в имени пользователя или группы.

Параметр ranger.usersync.role.assignment.list.delimiter используется в качестве разделителя для ролей, например:

ROLE_SYS_ADMIN:u:username01,username02&ROLE_KEY_ADMIN:g:groupname01

В этом примере роли ROLE_SYS_ADMIN и ROLE_KEY_ADMIN в Ranger Admin разделены разделителем &.

Параметр ranger.usersync.username.groupname.assignment.list.delimiter используется в качестве разделителя для разграничения двух или более пользователей и групп, например:

ROLE_SYS_ADMIN:u:username01,username02

В этом примере пользователи username1 и username2 разделены разделителем ,.

Параметр ranger.usersync.users.groups.assignment.list.delimiter используется в качестве разделителя для разграничения пользователей и групп от соответствующих ролей, например:

ROLE_SYS_ADMIN:u:username01,username02&ROLE_SYS_ADMIN:g:groupname01,groupname02

В этом примере ROLE_SYS_ADMIN — это роль, а u обозначает список пользователей, за которым следуют фактические имена пользователей, а именно username01 и username02. Символ g используется для обозначения списка групп, за которым следуют фактические имена групп, а именно groupname01 и groupname02.

ranger-ugsync-default.xml
<?xml version="1.0" encoding="UTF-8"?>
<?xml-stylesheet type="text/xsl" href="configuration.xsl"?>
<!--
  Licensed under the Apache License, Version 2.0 (the "License");
  you may not use this file except in compliance with the License.
  You may obtain a copy of the License at

    http://www.apache.org/licenses/LICENSE-2.0

  Unless required by applicable law or agreed to in writing, software
  distributed under the License is distributed on an "AS IS" BASIS,
  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  See the License for the specific language governing permissions and
  limitations under the License. See accompanying LICENSE file.
-->

<!-- Put site-specific property overrides in this file. -->

<configuration>
	<property>
		<name>ranger.usersync.port</name>
                <value>5151</value>
	</property>
	<property>
		<name>ranger.usersync.ssl</name>
		<value>true</value>
	</property>
	<property>
		<name>ranger.usersync.https.ssl.enabled.protocols</name>
		<value>SSLv2Hello, TLSv1, TLSv1.1, TLSv1.2</value>
	</property>
	<property>
		<name>ranger.usersync.passwordvalidator.path</name>
		<value>./native/credValidator.uexe</value>
	</property>
	<property>
		<name>ranger.usersync.enabled</name>
		<value>true</value>
	</property>
	<property>
		<name>ranger.usersync.policymanager.maxrecordsperapicall</name>
		<value>1000</value>
	</property>
	<property>
		<name>ranger.usersync.policymanager.mockrun</name>
		<value>false</value>
	</property>
	<property>
		<name>ranger.usersync.unix.minUserId</name>
		<value>500</value>
	</property>
	<property>
		<name>ranger.usersync.unix.minGroupId</name>
		<value>0</value>
	</property>
	<property>
		<name>ranger.usersync.ldap.username.caseconversion</name>
		<value>none</value>
	</property>
	<property>
		<name>ranger.usersync.ldap.groupname.caseconversion</name>
		<value>none</value>
	</property>
	<property>
		<name>ranger.usersync.logdir</name>
		<value>./log</value>
	</property>
	<property>
		<name>ranger.usersync.cookie.enabled</name>
		<value>true</value>
	</property>
</configuration>
LDAP sync source for User synchronizer
Parameter Description Default value

ranger.usersync.ldap.binddn

Полное отличительное имя (DN)

 — 

ranger.usersync.ldap.deltasync

Определяет, следует ли синхронизировать пользователей и группы, основываясь на обновлениях сервера

true

ranger.usersync.ldap.groupname.caseconversion

Определяет, в какой регистр конвертировать названия групп. Возможные значения: lower, upper и none

lower

LDAP bind password

Пароль для пользователя привязки LDAP

 — 

ranger.usersync.ldap.referral

Указывает, как обрабатывать отсылки LDAP. Возможные значения параметра:

  • follow — используется, если несколько серверов LDAP настроены на возврат отсылок для результатов.

  • ignore — используется при отсутствии отсылок.

ignore

ranger.usersync.ldap.searchBase

База поиска пользователей и групп

rangerkms

ranger.usersync.ldap.url

URL-адрес сервера LDAP

ranger

ranger.usersync.ldap.user.groupnameattribute

Атрибут имени группы пользователей LDAP

memberof,ismemberof

ranger.usersync.ldap.user.nameattribute

Атрибут имени пользователя LDAP

cn

ranger.usersync.ldap.user.objectclass

Класс объекта пользователя LDAP

person

ranger.usersync.ldap.user.searchbase

Поисковая база для пользователей

 — 

ranger.usersync.ldap.user.searchfilter

Необязательный дополнительный фильтр, ограничивающий пользователей, выбранных для синхронизации

 — 

ranger.usersync.ldap.user.searchscope

Область поиска для пользователей. Возможные значения параметра:

  • base — следует рассматривать только запись, указанную в качестве базы поиска в ranger.usersync.ldap.user.searchbase.

  • one — должны рассматриваться только непосредственные дочерние элементы записи, указанной в качестве базы поиска в ranger.usersync.ldap.user.searchbase.

  • sub — запись, указанная в качестве базы поиска в ranger.usersync.ldap.user.searchbase, и все вложенные на любую глубину записи должны быть рассмотрены.

 — 

ranger.usersync.ldap.username.caseconversion

Определяет, в какой регистр конвертировать имена пользователей. Возможные значения: lower, upper и none

lower

ranger.usersync.group.searchenabled

Должен ли Usersync использовать ldapsearch для поиска групп вместо того, чтобы полагаться на атрибуты входа пользователя

 — 

ranger.usersync.group.search.first.enabled

Определяет, следует ли получать пользователей через атрибут группы 'member'

true

ranger.usersync.group.usermapsyncenabled

Определяет, следует ли выполнять ldapsearch для поиска групп вместо того, чтобы полагаться на атрибуты пользователей и синхронизацию членства в этих группах

false

ranger.usersync.group.memberattributename

Имя атрибута члена группы LDAP

member

ranger.usersync.group.nameattribute

Атрибут имени группы LDAP

cn

ranger.usersync.group.objectclass

Класс объекта LDAP Group

groupofnames

ranger.usersync.group.searchbase

Поисковая база для групп

 — 

ranger.usersync.group.searchfilter

Необязательный дополнительный фильтр, ограничивающий группы, выбранные для синхронизации

 — 

ranger.usersync.group.searchscope

Область поиска для групп. Возможные значения параметра:

  • base — следует рассматривать только запись, указанную в качестве базы поиска в ranger.usersync.group.searchbase.

  • one — должны рассматриваться только непосредственные дочерние элементы записи, указанной в качестве базы поиска в ranger.usersync.group.searchbase.

  • sub — запись, указанная в качестве базы поиска в ranger.usersync.group.searchbase, и все ее подчиненные записи любой глубины должны быть рассмотрены.

 — 

Параметр ranger.usersync.ldap.binddn используется для установки DN, включая общее имя (CN) учетной записи пользователя LDAP, имеющего привилегии для поиска пользователей. Это может быть пользователь LDAP только для чтения, например:

cn=admin,dc=example,dc=com

Параметр ranger.usersync.ldap.searchBase используется для установки базы поиска для пользователей и групп. Несколько значений могут быть настроены с разделителем ; (точка с запятой), например:

dc=hadoop,dc=arenadata,dc=tech

Параметр ranger.usersync.ldap.url используется для установки URL для LDAP-сервера, например:

ldaps://localhost:8000
ldap://localhost:8080

Параметр ranger.usersync.ldap.user.groupnameattribute аналогичен атрибуту имени пользователя, например:

memberOf в AD, memberof,ismemberof в OpenLDAP

Параметр ranger.usersync.ldap.user.nameattribute используется для установки атрибута имени пользователя LDAP, например:

sAMAccountName в AD, uid или cn в OpenLDAP
ПРИМЕЧАНИЕ
sAMAccountName — логин, использующийся для совместимости с системами до Windows 2000. cn — общее имя пользователя, состоящее из имени, отчества и фамилии.

Параметр ranger.usersync.ldap.user.searchbase используется для установки PATH для базы поиска пользователей. Несколько значений могут быть заданы с разделителем ; (точка с запятой), например:

ou=users,dc=hadoop,dc=arenadata,dc=tech
cn=users,dc=example,dc=com;ou=example1,ou=example2
ВНИМАНИЕ
Значение параметра ranger.usersync.ldap.user.searchbase переопределяет значение, указанное в ranger.usersync.ldap.searchBase.

Параметр ranger.usersync.ldap.user.searchscope используется для указания области поиска пользователя. Параметр имеет три значения:

Параметр ranger.usersync.group.searchbase используется для указания поисковой базы группы. Несколько значений могут быть заданы с разделением ; (точка с запятой). Если значение не указано, принимается значение ranger.usersync.ldap.searchBase. Если ranger.usersync.ldap.searchBase также не указано, принимается значение ranger.usersync.ldap.user.searchbase.

ВНИМАНИЕ
Значение параметра ranger.usersync.group.searchbase переопределяет значения, указанные в ranger.usersync.ldap.searchBase и ranger.usersync.ldap.user.searchbase.

Пример:

ou=groups,dc=hadoop,dc=apache,dc=org
ou=groups,DC=example,DC=com;ou=group1,ou=group2
LDAP sync source for Ranger Admin authentication
Parameter Description Default value

ranger.ldap.url

URL-адрес сервера LDAP

 — 

ranger.ldap.bind.dn

Полное отличительное имя (DN) пользователя LDAP для привязки

 — 

ranger.ldap.bind.password

Пароль пользователя LDAP для привязки

 — 

ranger.ldap.base.dn

Отличительное имя запуска для поиска на сервере каталогов

 — 

ranger.ldap.group.searchbase

База поиска групп LDAP

 — 

ranger.ldap.group.searchfilter

Фильтр поиска групп LDAP

 — 

ranger.ldap.group.roleattribute

Атрибут роли группы LDAP

 — 

ranger.ldap.user.searchfilter

Фильтр поиска пользователей LDAP

 — 

ranger.ldap.user.dnpattern

DN пользователя LDAP

 — 

ranger.ldap.referral

Указывает, как обрабатывать отсылки LDAP. Возможные значения параметра:

  • follow — используется, если несколько серверов LDAP настроены на возврат отсылок для результатов.

  • ignore — используется при отсутствии отсылок.

  • throw —  используется, если все стандартные записи сначала возвращаются в перечисление, прежде чем будет вызвано исключение ReferralException.

ignore
Active Directory sync source for Ranger Admin authentication
Parameter Description Default value

ranger.ldap.ad.url

Адрес сервера Active Directory

 — 

ranger.ldap.ad.bind.dn

Полное отличительное имя (DN) пользователя AD для привязки

 — 

ranger.ldap.ad.bind.password

Пароль пользователя AD для привязки

 — 

ranger.ldap.ad.base.dn

Отличительное имя запуска для поиска на сервере каталогов

 — 

ranger.ldap.ad.domain

Доменное имя сервера (или IP-адрес), на котором запущен модуль ranger-usersync (наряду с AD Authentication Service)

 — 

ranger.ldap.ad.user.searchfilter

Фильтр поиска пользователей

sAMAccountName={0}

ranger.ldap.ad.referral

Указывает, как обрабатывать отсылки AD. Возможные значения параметра:

  • follow — используется, если несколько серверов AD настроены на возврат отсылок для результатов.

  • ignore — используется при отсутствии отсылок. Если во время обработки результатов обнаруживаются отсылки, то возвращается PartialResultException.

  • throw —  используется, если все стандартные записи сначала возвращаются в перечисление, прежде чем будет вызвано исключение ReferralException.

ignore
Другие параметры
Parameter Description Default value

Custom ranger-knox-security.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-knox-security.xml

 — 

Custom ranger-admin-site.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-admin-site.xml

 — 

Custom core-site.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле core-site.xml

 — 

Custom ranger-kms-audit.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-kms-audit.xml

 — 

Custom ranger-kms-security.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-kms-security.xml

 — 

Custom ranger-kms-site.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-kms-site.xml

 — 

Custom kms-site.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле kms-site.xml

 — 

Custom ranger-kms-policymgr-ssl.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-kms-policymgr-ssl.xml

 — 

Custom ranger-ugsync-site.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-ugsync-site.xml

 — 

 
Каждый компонент Ranger имеет свои настройки, описанные ниже.

Ranger Admin
Parameter Description Default value

logback.xml

Файл с настройками логирования Ranger Admin

logback.xml

ranger-admin-env.sh

Команда, устанавливающая переменную среды RANGER_ADMIN_LOGBACK_CONF_FILE и дополнительные опции памяти Java

ranger-admin-env.sh
Monitoring
Parameter Description Default value

Java agent path

Путь к jmx_prometheus_javaagent

/usr/lib/adps-utils/jmx/jmx_prometheus_javaagent.jar

Prometheus metrics port

Порт Prometheus для сбора метрик

9201

Mapping config path

Путь к конфигурации карты соотношений

/etc/ranger/admin/conf/jmx_ranger_admin_metric_config.yml

Mapping config

Конфигурация карты соотношений

--- lowercaseOutputName: true rules: - pattern: ".*"
Ranger KMS
Parameter Description Default value

logback.xml

Файл с настройками логирования Ranger KMS

logback.xml

ranger-kms-env.sh

Команда, устанавливающая дополнительные опции памяти Java

ranger-kms-env.sh
Monitoring
Parameter Description Default value

Java agent path

Путь к jmx_prometheus_javaagent

/usr/lib/adps-utils/jmx/jmx_prometheus_javaagent.jar

Prometheus metrics port

Порт Prometheus для сбора метрик

9202

Mapping config path

Путь к конфигурации карты соотношений

/etc/ranger/kms/conf/jmx_ranger_kms_metric_config.yml

Mapping config

Конфигурация карты соотношений

--- lowercaseOutputName: true rules: - pattern: ".*"
Ranger User synchronizer
Parameter Description Default value

logback.xml

Файл с настройками логирования Ranger Resource Mapping manager

logback.xml

ranger-usersync-env.sh

Команда, устанавливающая дополнительные опции памяти Java

ranger-usersync-env.sh
Monitoring
Parameter Description Default value

Java agent path

Путь к jmx_prometheus_javaagent

/usr/lib/adps-utils/jmx/jmx_prometheus_javaagent.jar

Prometheus metrics port

Порт Prometheus для сбора метрик

9203

Mapping config path

Путь к конфигурации карты соотношений

/etc/ranger/usersync/conf/jmx_ranger_usersync_metric_config.yml

Mapping config

Конфигурация карты соотношений

--- lowercaseOutputName: true rules: - pattern: ".*"
Ranger Resource Mapping manager
ranger-rmm-site.xml
Parameter Description Default value

ranger.rmm.db.driver.classname

Полное имя класса JDBC-драйвера для подключения к БД Ranger

org.postgresql.Driver

ranger.rmm.db.jdbc.url

URL для JDBC-подключения к БД Ranger

jdbc:postgresql://<db_host>:5432/ranger

ranger.rmm.db.username

Имя пользователя для аутентификации в БД Ranger

rangeradmin

ranger.rmm.db.password

Пароль для аутентификации в БД Ranger

 — 

ranger.rmm.db.pool.size.max

Максимальное число соединений, допустимое для пула БД

10

ranger.rmm.db.pool.size.min

Минимальное число поддерживаемых соединений в пуле БД

2

ranger.rmm.db.pool.idle.timeout

Максимальное время в милисекундах, на протяжении которого соединение может быть неактивным перед тем, как оно будет удалено из пула

300000

ranger.rmm.db.pool.lifetime.max

Максимальная длительность нахождения соединения в пуле в миллисекундах

1800000

ranger.rmm.db.pool.connection.timeout

Максимальная длительность ожидания соединения в миллисекундах

30000

ranger.rmm.event.applier.retry.strategy

Стратегия повторного применения событий в случае возникновения ошибок. Возможные значения:

  • FAIL — завершать работу.

  • FIXED_SLEEP — повторять попытки несколько раз с фиксированным интервалом.

  • EXPONENTIAL — повторять попытки несколько раз с увеличивающимся интервалом. Время между попытками вычисляется как значение sleepTime, умноженное на случайное число из интервала ], где  — количество попыток.

FIXED_SLEEP

ranger.rmm.event.applier.retry.interval.ms

Интервал в миллисекундах между повторными попытками сохранения события в БД Ranger

1000

ranger.rmm.kerberos.principal

Принципал Kerberos, использующийся для аутентификации сервиса RMM, если параметр hadoop.security.authentication имеет значение Kerberos

 — 

ranger.rmm.kerberos.keytab

Путь к keytab-файлу Kerberos, использующегося для аутентификации

 — 

ranger.rmm.hms.fetch.period.ms

Интервал в миллисекундах, с которым батчи метаданных запрашиваются из Hive Metastore

10000

ranger.rmm.hms.fetch.batch.size

Количество объектов метаданных событий, поступающих в одном батче из Hive Metastore

8192

ranger.rmm.hms.retry.strategy

Стратегия повторного запуска операций получения данных из Hive Metastore в случае возникновения ошибок. Возможные значения:

  • FAIL — в случае возникновения ошибок завершать работу.

  • FIXED_SLEEP — повторять попытки несколько раз с фиксированным интервалом.

  • EXPONENTIAL — повторять попытки несколько раз с увеличивающимся интервалом. Время между попытками вычисляется как значение sleepTime, умноженное на случайное число из интервала ], где  — количество попыток.

FIXED_SLEEP

ranger.rmm.hms.retry.interval.ms

Интервал в миллисекундах между повторными попытками запроса данных из Hive Metastore

1000

ranger.rmm.hms.retry.max

Максимальное число попыток получения данных из Hive Metastore

10

ranger.rmm.hms.sync.full

Указывает, следует ли выполнять полную синхронизацию сущностей из Hive Metastore

false
Other
Parameter Description Default value

Custom ranger-rmm-site.xml

В этой секции вы можете указать значения для кастомных параметров, которые не отображаются в интерфейсе ADCM, но могут присутствовать в конфигурационном файле ranger-rmm-site.xml

 — 

logback.xml

Файл с настройками логирования Ranger Resource Mapping manager

logback.xml

ranger-resource-mapping-manager-env.sh

Команда, устанавливающая дополнительные опции памяти Java

ranger-resource-mapping-manager-env.sh
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней