1. 生成用户主体
在kerberos服务器生成用于ranger的用户主体:
kadmin.localaddprinc -randkey http/node3@EXAMPLE.COMaddprinc -randky root/node3@EXAMPLE.COMktadd -norandkey -kt rangadmin.keytab http/node3@EXAMPLE.COM root/node3@EXAMPLE.COM
拷贝rangeradmin.keytab到ranger admin服务器
2. 修改配置
修改ranger admin的install properties 文件
主要修改以下几项配置:
#------------ Kerberos Config -----------------spnego_principal=HTTP/node3@EXAMPLE.COMspnego_keytab=/data/ranger/ranger-2.1.0-SNAPSHOT-admin/rangadmin.keytabadmin_principal=rangadmin/node3@EXAMPLE.COMadmin_keytab=/data/ranger/ranger-2.1.0-SNAPSHOT-admin/rangadmin.keytablookup_principal=rangadmin/node3@EXAMPLE.COMlookup_keytab=/data/ranger/ranger-2.1.0-SNAPSHOT-admin/rangadmin.keytabhadoop_conf=/data1/hadoop/hadoop/etc/hadoop/
3. 初始化
修改完配置以后,重新初始化./setup.sh和./set_globals.sh
4. 插件配置
4.1. hdfs插件配置
hdfs插件创建service: hdfsRepo的参数Authentication Type选择kerberos类型,用于testConnection功能
4.2. hive插件配置
hive插件创建service: hivedev的参数jdbc.url填写格式:
jdbc:hive2://node3:10000/;principal=root/node3@EXAMPLE.COM
principal=root/node3@EXAMPLE.COM为hive-site.xml中的配置项:hive.server2.authentication.kerberos.principal
4.3. 其他插件配置
ranger每一个插件开启kerberos后,拉取策略到本地需要在ranger-admin的web页面创建service时增加如下配置项,例如:
policy.download.auth.users hdfs
hdfs用户为hdfs组件的启动用户
注:
如果不配置,就没有权限拉取策略,插件会集成失败
5. 参考资料
https://www.cnblogs.com/yjt1993/p/11888044.html