Плагин Ranger NiFi

Предварительные требования

Предварительные требования для авторизации в NiFi при помощи Ranger:

  1. Установлен кластер ADS c настроенной аутентификацией пользователя, имеющего учетную запись в Active Directory.

  2. Установлен кластер ADPS.

  3. Включен и настроен SSL (при помощи сертификатов SSL или сертификатов Active Directory) на кластере ADPS.

  4. Включена интеграция с кластером ADS на кластере ADPS.

ПРИМЕЧАНИЕ
  • В данной статье описана авторизация при помощи ADPS с самоподписанными сертификатами SSL.

  • Минимальные требования для включения авторизации в Ranger для сервиса NiFi:

    • ADPS версии 1.0.4.b3.

    • ADS версии 1.7.1.b1 (для NiFi Server) и ADS версии 1.7.2.b1 (для NiFi Registry).

Организация взаимодействия кластеров по протоколу SSL

Для включения плагина Ranger необходимо, чтобы каждый кластер доверял сертификатам SSL другого.

Для этого необходимо:

  1. Импортировать сертификат *.crt для каждого хоста кластера в truststore каждого хоста другого кластера.

    На каждом хосте, куда производится импорт сертификатов, выполнить:

    $ keytool -import -file /tmp/sov-test-1.ru-central1.internal.crt -keystore /tmp/truststore.jks -storepass bigdata -noprompt
  2. На всех хостах выполнить повторный импорт truststore в хранилище доверенных сертификатов операционной системы:

    $ keytool -importkeystore -srckeystore /tmp/truststore.jks -destkeystore /etc/pki/java/cacerts -deststorepass changeit -srcstorepass bigdata -noprompt
  3. На каждом хосте добавить сертификаты в ca-bundle.pem с помощью следующих команд:

    $ chmod 777 /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
    $ echo "#######################" >> /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
    $ cat /tmp/sov-test-1.ru-central1.internal.crt >> /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
    $ chmod 444 /etc/pki/ca-trust/extracted/pem/ca-bundle.pem
ПРИМЕЧАНИЕ

Если на кластере ADPS для включения SSL используются сертификаты Active Directory, в truststore.jks хостов кластера ADS необходимо импортировать корневой и клиентские сертификаты Active Directory.

Активация плагина Ranger NiFi

Для ативации плагина Ranger NiFi:

  1. Инициируйте активацию плагина Ranger NiFi. Для этого примените действие Manage Ranger plugin, нажав на иконку actions default dark actions default light в столбце Actions сервиса NiFi.

  2. В открывшемся окне Run an action укажите необходимые параметры и нажмите Run.

    nifi ranger 05
    Активация плагина

    Требуемые параметры описаны ниже:

    • Desired plugin state — после выбора состояния enable к Ranger будет применена политика по умолчанию для плагина Ranger NiFi.

    • Ranger Admin Identitity — DN сертификата хоста ADPS, который был сформирован при настройке SSL при помощи самоподписанных сертификатов и импортирован на хост (например, CN=sov-test-1.ru-central1.internal, OU=AD, O=AD, L=MSK, S=MO, C=RU). Этот DN Ranger будет использовать для коммуникации с NiFi.

  3. Дождитесь окончания процесса активации плагина Ranger NiFi и создания дефолтной политики на стороне Ranger. Проанализируйте и исправьте ошибки в случае их возникновения.

  4. Проверьте, что в дереве конфигурационных параметров на странице конфигурации сервиса NiFi свойство Ranger Admin Identitity в группе authorizers.xml заполнилось значением DN.

    nifi ranger 09
    Значение Ranger Admin Identitity

Проверка активированного плагина Ranger NiFi

После авторизации в веб-интерфейсе Ranger в окне Service manager появятся службы политик авторизации для компонентов сервиса NiFi выбранного кластера ADS.

Для просмотра созданных политик для кластера необходимо нажать на название службы.

nifi ranger 01 dark
Переход к созданной службе политик
nifi ranger 01 light
Переход к созданной службе политик

При этом становятся доступны политики, автоматически созданные для серверов кластера.

Для просмотра, редактирования или удaления политик используются кнопки в стобце Action.

nifi ranger 02 dark
Созданные политики для компонента NiFi Server
nifi ranger 02 light
Созданные политики для компонента NiFi Server
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней