Использование Ranger в NiFi

Ольга Семме

После активации плагина Ranger NiFi, создания сервиса Ranger или подключения к существующему сервису (в зависимости от значения параметра Override service policies) авторизация в пользовательских интерфейсах NiFi Server и NiFi Registry закрыта для всех пользователей, в том числе для администратора NiFi, указанного в NiFi Initial Admin при настройке аутентификации в сервисе NiFi.

После попытки входа под NiFi Initial Admin появляется сообщение об отсутствии настроенной политики для пользователя.

Ошибка авторизации пользователя
Ошибка авторизации пользователя
Ошибка авторизации пользователя
Ошибка авторизации пользователя
ПРИМЕЧАНИЕ

  • В данной статье описана авторизация при помощи ADPS с самоподписанными сертификатами SSL. При этом пользователей в Ranger необходимо создавать вручную. Для автоматической синхронизации с пользователями Active Directory необходимо настроить LDAP в ADPS .

  • Для получения дополнительной информации по авторизации в NiFi при помощи Ranger можно обратиться к статье NiFi Plugin.

  • Все конфиденциальные значения для компонентов NiFi Server и NiFi Registry заменяются зашифрованными значениями в файлах конфигурации. Для получения дополнительной информации о шифровании данных можно обратиться к статье Шифрование параметров конфигурации NiFi.

  • Для получения дополнительной информации о работе с Ranger можно обратиться к следующим статьям:

Настройка политики авторизации в NiFi Server

Авторизация NiFi Initial Admin в NiFi Server

Для авторизации NiFi Initial Admin:

  1. Создайте пользователя в Ranger. Для этого в верхнем меню интерфейса Ranger выберите Settings → Users/Groups/Roles и нажмите Add new user.

    Создание пользователя в Ranger
    Переход к созданию пользователя в Ranger
    Создание пользователя в Ranger
    Создание пользователя в Ranger

  2. В открывшемся окне заполните необходимые данные для пользователя:

    • User Name — имя пользователя. Имя должно совпадать с именем пользователя в базе Active Directory. Значением может быть:

      • полный DN пользователя при установке значения конфигурационного параметра Identity Strategy группы LDAP Login Identitity Provider в USE_DN;

      • только логин (имя) пользователя при установке Identity Strategy в USE_USERNAME.

    • New Password — пароль пользователя.

    • Password Confirm — подтверждение пароля пользователя.

    • First Name — личное имя пользователя.

    • Last Name — фамилия пользователя.

    • Email Address — email-адрес пользователя.

    • Select Role — выбор роли пользователя (Admin, User, Auditor).

    • Group — выбор группы/групп, к которым принадлежит пользователь.

      Создание пользователя в Ranger
      Создание пользователя в Ranger
      Создание пользователя в Ranger
      Создание пользователя в Ranger

  3. Кликните Save.

  4. В окне Service Manager кликните на название сервиса в Ranger для NiFi.

    Переход к созданному сервису политик
    Переход к созданному сервису политик
    Переход к созданному сервису политик
    Переход к созданному сервису политик

  5. В открывшемся окне List of Policies кликните иконку редактирования ranger manager созданной политики all.

    Переход к редактированию политики авторизации
    Переход к редактированию политики авторизации
    Переход к редактированию политики авторизации
    Переход к редактированию политики авторизации

  6. В открывшемся окне редактирования политики в таблице Allow Conditions → Select User выберите пользователя NiFi Initial Admin, созданного выше.

    Добавление пользователя в политику доступа
    Добавление пользователя в политику доступа
    Добавление пользователя в политику доступа
    Добавление пользователя в политику доступа

  7. Внизу страницы кликните Save.

    В результате пользователю NiFi Initial Admin назначены полные права.

После настройки политики доступа в пользовательском интерфейсе NiFi Server появляется возможность авторизоваться как NiFi Initial Admin. При этом в глобальном меню интерфейса отсутствуют строки Users и Policies — настройка авторизации пользователя осуществляется теперь только при помощи Ranger.

После авторизации NiFi Initial Admin
После авторизации NiFi Initial Admin
После авторизации NiFi Initial Admin
После авторизации NiFi Initial Admin

Авторизация нового пользователя

Назначить политики доступа возможно для пользователей Active Directory, находящихся в области поиска (User Search Base), заданной на этапе конфигурации параметров сервиса NiFi.

Для этого:

  1. Создайте нового пользователя, как описано выше.

  2. В открывшемся окне List of Policies нажмите Add new policy, чтобы добавить новую политику для пользователя.

    Создание политики авторизации
    Создание политики авторизации
    Создание политики авторизации
    Создание политики авторизации

  3. В открывшемся окне Create Policy:

    • заполните поля в разделе Policy Details:

      • Policy Name — имя политики. Это имя не может быть дублировано для такого же сервиса в системе. Поле обязательно для заполнения.

      • Policy Label — предоставляет следующие возможности:

        • Позволяет пользователю группировать наборы политик с помощью одной или нескольких меток.

        • Пользователь может искать политики по названиям меток. Поиск можно осуществлять как на странице списка политик, так и на странице отчета.

        • Помогает пользователю экспортировать/импортировать политики. Если пользователю необходимо экспортировать определенный набор политик, он может найти метку политики и экспортировать определенный набор политик.

      • Description — цель политики. Это поле является необязательным.

      • Policy Conditions — нажав + под Add conditions, можно добавить дополнительные условия.

      • Add Validity Period — время начала и окончания политики.

    • в разделе Policy Details установите нужные положения переключателей:

      • Audit Logging — определяет, будет ли проводиться аудит конкретной политики.

      • Enable/Disabled — по умолчанию политика включена. Вы можете отключить политику, чтобы ограничить доступ пользователей/групп для этой политики.

      • Override/Normal — указывает политику переопределения. Если выбрано Override, разрешения на доступ в политике переопределяют разрешения на доступ в существующих политиках. Эту функцию можно использовать вместе с Add Validity Period для создания временных политик доступа, которые переопределяют существующие политики.

    • в разделе Resources при необходимости заполните поле, определяющее значение параметра NIFi Resource Identifier.

      Разделы Policy Details и Resources окна Create Policy
      Разделы Policy Details и Resources окна Create Policy
      Разделы Policy Details и Resources окна Create Policy
      .Разделы Policy Details и Resources окна Create Policy

    • заполните поля в разделе Allow Condition:

      • Select Role — роль, к которой применяется эта политика. Роль — набор разрешений. Роли представляют собой более простой способ управления набором разрешений на основе определенных критериев доступа.

      • Select Group — группа, к которой применяется эта политика. Чтобы повысить статус пользователя до администратора, установите флажок Delegate Admin. Администраторы могут редактировать или удалять политику и создавать дочерние политики. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям.

      • Select User — пользователь, к которому применяется эта политика (вне уже указанной группы). Можно сделать пользователя администратором этой политики. Администраторы могут создавать дочерние политики на основе существующих политик.

      • Permissions — добавляет или удаляет разрешения:

        • Write — разрешение вносить изменения в интерфейсе NiFi.

        • Read — разрешение читать данные в интерфейсе NiFi.

      • Delegate Admin — для назначения привилегий администратора пользователям или группам, указанным в политике.

      • Deny All Other Accesses — запрещает все остальные доступы.

        Раздел Allow Condition окна Create Policy
        Раздел Allow Condition окна Create Policy
        Раздел Allow Condition окна Create Policy
        Раздел Allow Condition окна Create Policy
        ПРИМЕЧАНИЕ
        Условия выполняются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, третье и так далее.

  4. Кликните Add.

Работа авторизованного пользователя в NiFi

После активации Ranger и настройки политики авторизации для пользователя работа в интерфейсе NiFi Server происходит после авторизации в сответствии с назначенной политикой доступа. Например, для пользователя, которому назначено только разрешение Read, панель инструментов неактивна и возможен только просмотр элементов холста без изменения параметров.

Авторизованный пользователь без прав изменения параметров
Авторизованный пользователь без прав изменения параметров
Авторизованный пользователь без прав изменения параметров
Авторизованный пользователь без прав изменения параметров

Настройка политики авторизации в NiFi Registry

Авторизация NiFi Initial Admin в NiFi Registry

Для авторизации NiFi Initial Admin в NiFi Registry:

  1. В окне Service Manager кликните на название сервиса Ranger для NiFi Registry.

    Переход к созданному сервису политик
    Переход к созданному сервису политик
    Переход к созданному сервису политик
    Переход к созданному сервису политик

  2. В открывшемся окне List of Policies кликните иконку редактирования ranger manager созданной политики all.

    Переход к редактированию политики авторизации
    Переход к редактированию политики авторизации
    Переход к редактированию политики авторизации
    Переход к редактированию политики авторизации

  3. В открывшемся окне редактирования политики в таблице Allow Conditions → Select User выберите пользователя NiFi Initial Admin, созданного выше.

    Добавление пользователя в политику доступа
    Добавление пользователя в политику доступа
    Добавление пользователя в политику доступа
    Добавление пользователя в политику доступа

  4. Внизу страницы кликните Save.

    В результате пользователю NiFi Initial Admin назначены полные права.

После настройки политики доступа в пользовательском интерфейсе NiFi Registry появляется возможность авторизоваться как NiFi Initial Admin. При этом в меню настроек отсутствует вкладка Users — настройка авторизации пользователя осуществляется теперь только при помощи Ranger.

Авторизация нового пользователя и создание политики в сервисе Ranger для NiFi Registry происходит аналогично NiFi Server, при этом пользователям возможно давать следующие разрешения в таблице Allow Conditions → Permissions:

  • Write — разрешение вносить изменения в группы потоков в интерфейсе NiFi Registry.

  • Read — разрешение читать данные потоков в интерфейсе NiFi Registry.

  • Delete — разрешение удалять потоки.

После активации Ranger и настройки политики авторизации для пользователя работа в интерфейсе NiFi Registry происходит после авторизации в сответствии с назначенной политикой доступа.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней