Плагин Ranger NiFi

Ольга Семме

Предварительные требования

Предварительные требования для авторизации в NiFi при помощи Ranger:

  1. Установлен кластер ADS c настроенной аутентификацией пользователя, имеющего учетную запись в Active Directory.

  2. Установлен кластер ADPS.

  3. Включен и настроен SSL (при помощи сертификатов SSL или сертификатов Active Directory) в кластере ADPS.

  4. Для отключения конвертирования регистров имен пользователей и групп в NiFi следующим параметрам группы LDAP sync source for User synchronizer для сервиса Ranger кластера ADPS присвоено значение none:

    • ranger.usersync.ldap.groupname.caseconversion

    • ranger.usersync.ldap.username.caseconversion

    Для получения дополнительной информации про настройку синхронизации пользователей в Ranger обратитесь к статье Настройка Ranger User Sync.

  5. Включена интеграция с кластером ADS на кластере ADPS.

ПРИМЕЧАНИЕ

  • В данной статье описана авторизация при помощи ADPS с самоподписанными сертификатами SSL.

  • Минимальные требования для включения авторизации в Ranger для сервиса NiFi:

    • ADPS версии 1.0.4.b3.

    • ADS версии 1.7.1.b1 (для NiFi Server) и ADS версии 1.7.2.b1 (для NiFi Registry).

Организация взаимодействия кластеров по протоколу SSL

Для включения плагина Ranger необходимо, чтобы каждый кластер доверял сертификатам SSL другого.

Для этого:

  1. Импортируйте сертификат *.crt для каждого хоста кластера в truststore каждого хоста другого кластера.

    На каждом хосте, куда производится импорт сертификатов, выполните:

    $ keytool -import -file /tmp/sov-test-1.ru-central1.internal.crt -keystore /tmp/truststore.jks -storepass bigdata -noprompt

  2. На всех хостах выполните повторный импорт truststore в хранилище доверенных сертификатов операционной системы:

    $ keytool -importkeystore -srckeystore /tmp/truststore.jks -destkeystore /etc/pki/java/cacerts -deststorepass changeit -srcstorepass bigdata -noprompt

  3. На каждом хосте добавьте сертификаты в ca-bundle.pem с помощью следующих команд:

    $ chmod 777 /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
$ echo "#######################" >> /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
$ cat /tmp/sov-test-1.ru-central1.internal.crt >> /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
$ chmod 444 /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
ПРИМЕЧАНИЕ

Если на кластере ADPS для включения SSL используются сертификаты Active Directory, в truststore.jks хостов кластера ADS необходимо импортировать корневой и клиентские сертификаты Active Directory.

Активация плагина Ranger NiFi

Для активации плагина Ranger NiFi:

  1. Инициируйте активацию плагина Ranger NiFi. Для этого примените действие Manage Ranger plugin, нажав на иконку actions default dark actions default light в столбце Actions сервиса NiFi.

  2. В открывшемся окне Run an action: Manage Ranger plugin активируйте переключатель Active ranger plugin. При этом:

    • Установите при необходимости название сервиса Ranger, который будет добавлен. Если сервис с таким именем уже существует, его можно пересоздать, активировав параметр Override service policies (true — параметр активен, false — неактивен), в таком случае старый сервис будет удален, а для нового сервиса будут заново сгенерированы политики. Если параметр Override service policies неактивен — после активации плагина осуществится подключение к существующему сервису Ranger.

    • Установите Ranger Admin Identitity — DN сертификата хоста ADPS, который был сформирован во время настройки SSL при помощи самоподписанных сертификатов и импортирован на хост (например, CN=sov-test-1.ru-central1.internal, OU=AD, O=AD, L=MSK, S=MO, C=RU). Этот DN Ranger будет использовать для коммуникации с NiFi.

      Активация плагина
      Активация плагина
      ПРИМЕЧАНИЕ

      При первом включении плагина сервис с политиками будет создан (если еще не существует) вне зависимости от значения параметра Override service policies.

  3. Кликните Run и подтвердите действие в открывшемся окне.

    Подтверждение действия
    Подтверждение действия

  4. Дождитесь окончания процесса активации плагина Ranger NiFi и создания дефолтной политики на стороне Ranger. Проанализируйте и исправьте ошибки в случае их возникновения.

  5. Проверьте, что в дереве конфигурационных параметров на странице конфигурации сервиса NiFi свойство Ranger Admin Identitity в группе authorizers.xml заполнилось значением DN.

    Значение Ranger Admin Identitity
    Значение Ranger Admin Identitity

Проверка активированного плагина Ranger NiFi

После авторизации в веб-интерфейсе Ranger в окне Service manager появятся сервисы для компонентов NiFi выбранного кластера ADS.

Для просмотра созданных политик для кластера нажмите на название сервиса Ranger для компонентов NiFi.

Переход к созданному сервису политик
Переход к созданному сервису политик
Переход к созданному сервису политик
Переход к созданному сервису политик

При этом становится доступна политика, автоматически созданная для серверов кластера.

Для просмотра, редактирования или удaления политик используются кнопки в стобце Action.

Созданная политика для компонента NiFi Server
Созданная политика для компонента NiFi Server
Созданная политика для компонента NiFi Server
Созданная политика для компонента NiFi Server
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней