Плагин Ranger NiFi
Предварительные требования
Предварительные требования для авторизации в NiFi при помощи Ranger:
-
Установлен кластер ADS c настроенной аутентификацией пользователя, имеющего учетную запись в Active Directory.
-
Установлен кластер ADPS.
-
Включен и настроен SSL (при помощи сертификатов SSL или сертификатов Active Directory) на кластере ADPS.
-
Включена интеграция с кластером ADS на кластере ADPS.
ПРИМЕЧАНИЕ
|
Организация взаимодействия кластеров по протоколу SSL
Для включения плагина Ranger необходимо, чтобы каждый кластер доверял сертификатам SSL другого.
Для этого необходимо:
-
Импортировать сертификат *.crt для каждого хоста кластера в truststore каждого хоста другого кластера.
На каждом хосте, куда производится импорт сертификатов, выполнить:
$ keytool -import -file /tmp/sov-test-1.ru-central1.internal.crt -keystore /tmp/truststore.jks -storepass bigdata -noprompt
-
На всех хостах выполнить повторный импорт truststore в хранилище доверенных сертификатов операционной системы:
$ keytool -importkeystore -srckeystore /tmp/truststore.jks -destkeystore /etc/pki/java/cacerts -deststorepass changeit -srcstorepass bigdata -noprompt
-
На каждом хосте добавить сертификаты в ca-bundle.pem с помощью следующих команд:
$ chmod 777 /etc/pki/ca-trust/extracted/pem/ca-bundle.pem $ echo "#######################" >> /etc/pki/ca-trust/extracted/pem/ca-bundle.pem $ cat /tmp/sov-test-1.ru-central1.internal.crt >> /etc/pki/ca-trust/extracted/pem/ca-bundle.pem $ chmod 444 /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
ПРИМЕЧАНИЕ
Если на кластере ADPS для включения SSL используются сертификаты Active Directory, в truststore.jks хостов кластера ADS необходимо импортировать корневой и клиентские сертификаты Active Directory. |
Активация плагина Ranger NiFi
Для ативации плагина Ranger NiFi:
-
Инициируйте активацию плагина Ranger NiFi. Для этого примените действие Manage Ranger plugin, нажав на иконку в столбце Actions сервиса NiFi.
-
В открывшемся окне Run an action укажите необходимые параметры и нажмите Run.
Активация плагинаТребуемые параметры описаны ниже:
-
Desired plugin state — после выбора состояния
enable
к Ranger будет применена политика по умолчанию для плагина Ranger NiFi. -
Ranger Admin Identitity — DN сертификата хоста ADPS, который был сформирован при настройке SSL при помощи самоподписанных сертификатов и импортирован на хост (например,
CN=sov-test-1.ru-central1.internal, OU=AD, O=AD, L=MSK, S=MO, C=RU
). Этот DN Ranger будет использовать для коммуникации с NiFi.
-
-
Дождитесь окончания процесса активации плагина Ranger NiFi и создания дефолтной политики на стороне Ranger. Проанализируйте и исправьте ошибки в случае их возникновения.
-
Проверьте, что в дереве конфигурационных параметров на странице конфигурации сервиса NiFi свойство Ranger Admin Identitity в группе authorizers.xml заполнилось значением DN.
Значение Ranger Admin Identitity
Проверка активированного плагина Ranger NiFi
После авторизации в веб-интерфейсе Ranger в окне Service manager появятся службы политик авторизации для компонентов сервиса NiFi выбранного кластера ADS.
Для просмотра созданных политик для кластера необходимо нажать на название службы.
При этом становятся доступны политики, автоматически созданные для серверов кластера.
Для просмотра, редактирования или удaления политик используются кнопки в стобце Action.