openLooKeng+Ranger+LDAP 认证鉴权能力演示

最新推荐文章于 2025-07-08 11:25:19 发布
原创 最新推荐文章于 2025-07-08 11:25:19 发布 · 753 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据 #实时大数据

本文档展示了如何使用openLooKeng与LDAP进行用户认证,结合Ranger实现权限控制。通过详细步骤,包括环境配置、用户创建、权限设置等,来验证安全策略的执行。未认证用户访问失败,而成功配置后,用户能够根据权限访问特定的catalog、schema和table。同时提供了技术交流的途径。

openLooKeng可以对接LDAP完成认证,同时对接Ranger完成权限控制。本次演示使用的是我们的实验openLooKeng版本(开源openLooKeng的三层结构catalog-schema-table,在实验版本中扩展为catalog-vdb-schema-table4层结构),你也可以采用开源openLooKeng达到完全相同的认证和鉴权的安全能力。

总体演示步骤:

LDAP上已经配置好用户tom,密码为:Huawei@123
在Ranger已经配置好用户tom的访问权限
通过openLooKeng Client访问相应资源,检查是否符合策略配置

环境说明:

Testcases:

  1. 未认证用户kobe访问失败
root@slave2:/home/xdz# ./openLooKeng_cli --server https://xdz3:9090 --catalog mysql --keystore-path /home/xdz/key138/openLooKeng-public.store --keystore-password Huawei@123 --user kobe --password
Password: 
lk> select * from view."vdb02:schema02".view02;
Error running command: Authentication failed: Access Denied: Invalid credentials
  1. 在LDAP上创建用户tom(密码:Huawei@123)

Ranger-usersync即刻能同步到LDAP上新建用户的信息,可以在Ranger-admin上查询到:

  1. 未在Ranger上配置tom用户可访问的资源时,查询
root@slave2:/home/xdz# ./openLooKeng_cli --server https://xdz3:9090 --catalog mysql --keystore-path /home/xdz/key138/openLooKeng-public.store --keystore-password Hu
最低0.47元/天 解锁文章
自动化部署openLooKeng大数据平台
2301_79366435的博客
10-07 322
在本教程中,我们将详细介绍如何自动化部署openLooKeng大数据平台。openLooKeng是一个强大的大数据查询引擎,可以在大规模数据集上执行SQL查询。你可以根据自己的需求进行更多的配置和优化,以满足特定的大数据查询需求。这将进入openLooKeng的容器命令行界面。在该界面中,我们可以执行SQL查询来验证openLooKeng的功能。这将进入openLooKeng的SQL命令行界面。在文件中,你可以配置openLooKeng的各种参数,如监听端口、数据存储路径等。根据你的需求进行相应的修改。
Ldap集成Ranger应用服务
anguoan的博客
10-28 594
Ldap集成Ranger应用服务
即兴小探华为开源行业领先大数据虚拟化引擎openLooKeng
itxiaoshen博客
10-26 1719
如果你还在头疼数据分析多组件、多集群跨域等问题,推荐研究下华为开源的openlookeng,能够解决企业在面向大数据应用面临的用数难、找数难、取数难的痛点,本篇从openlookeng背景和架构开始,理解其关键技术和应用场景,最后通过安装openlookeng的集群,利用命令行接口验证MySQL和ClickHouse两种连接器的配置。
初体验--openLooKeng集群管理平台的安装使用
wmxx2022的博客
05-26 1671
最近在华为开源社区发现新上线的openlookeng/openlookeng-manager系统,并对其操作进行了体验:先按照页面上的README操作说明进行部署安装,然后顺着openLooKeng集群管理平台的引导页指引,我很轻松地安装了此系统并对其进行操作。体验中,我发现其页面设计非常简洁清爽,操作也非常简便。现将操作心得写与大家分享~ 一、环境部署 1、前后端代码包可通过openLooKeng开源社区进行拉取。 2、后端打包部署 前提条件:代码打包前服务器需要安装 ...
浅析openLooKeng安全认证机制
openLooKeng的博客
11-03 560
前言 通过openLooKeng的官网https://openlookeng.io/zh-cn/docs/docs/overview.html我们可以知道其支持对外部用户的认证的,主要方式有Kerberos和Password(LDAP)认证,本文主要讲解其认证原理。 认证机制 在了解认证之前不得不提一下Servlet中的FilterChain的doFilter方法的作用如下图示,在客户端和服务器端之间会有很多filter,通常称为filter链。通过FilterChain我们可能进行很多的过虑操作。当然我们
OpenLDAP + Ranger +Kerberos 三方集成实现身份、认证
z_ran的博客
12-15 2430
OpenLDAP+Kerberos+Ranger集成
kerberos + Ranger 实现对Kafka的认证以及限管理
TMH_ITBOY的博客
04-24 3182
1. 安装Ranger 安装JDK(略) 编译Ranger(略) 安装MySQL(略) 创建名为ranger的数据库(CREATE USER 'ranger'@'%' IDENTIFIED BY 'ranger';)。 创建名为ranger的用户,并授ranger数据库所有限给ranger(GRANT ALL PRIVILEGES ON ranger.* TO 'ranger'@'%';)...
HIVE3.1.3+ZK+Kerberos+Ranger2.4.0高可用集群部署
snipercai的博客
05-22 1761
HIVE3.1.3+ZK+Kerberos+Ranger高可用集群部署
HDP 05.Ranger LDAP 配置
80后大叔爱学习
11-02 1075
1、在Ambari控制台,点击 "Ranger" -> "CONFIGS" ->"RANGER PLUGIN",检查⼀下相关组件的限控制是否已经开启 注意:1). "Group Search Filter"配置项主要是⼀些”LDAP组“,可以根据⾃⼰的规划灵活配置,我这⾥的组账号⼤概说明⼀下: g_etl 是⽤于数据清洗,它主要包含etl团队⽤户; g_bigdata是"⼤数据组",主要⽤于Hive分层的各种数据分析相关内容,它主要包含bigdata团队⽤...
HDP 06.Ranger LDAP ⽤户限测试
80后大叔爱学习
11-02 754
七、Ranger LDAP ⽤户限测试 1、ipa-v01 服务器创建LDAP组,团队用户,普通用户 kinit admin Wfipaadmin123456 ipa group-add g_etl --desc groupOf_etl ipa group-add g_bigdata --desc groupOf_bigdata ipa group-add g_rec --desc groupOf_rec ipa group-add g_push --desc groupOf_push i
大数据平台之rangerldap集成,同步用户和组
最新发布
weixin_45357522的博客
07-08 602
ranger可以通过ranger-usersync与linux系统同步用户,但是,还有个问题,就是我们的hiveserver一般是集群,可以是多台服务器,那么我们空间同步哪一台呢,而且如果用户多了,如何管理用户登录密码呢,所以,还是要用ldap比较合理。再修改/etc/ranger/usersync/conf/ranger-ugsync-site.xml。接下来,就是要设置ranger-usersync模块了。修改完成后,执行./setup.sh完成安装。
hadoop大数据安全管理:ldap、keberos、ranger
qq_41358574的博客
07-23 1830
hadoop大数据认证一般用keberos,授ranger,kerberos和Ldap组件共同组成整个集群的安全体系,Ldap负责用户数据存储。kerberosKerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。kerberos所管理的一个用户或者服务叫Principal,其格式通常如下:primary/instance@realm。
基于LDAP配置Ranger之配置ranger conf
m0_48187193的博客
03-26 644
基于LDAP配置Ranger之配置ranger 1.安装的时候一并安装了 infra Solr , Ranger Ranger KMS 2.配置数据库 下图是安装ranger admin的数据库配置, 下图的配置是后面创建KMS数据库需要用到BD管理员限 这里配置了,用solr存储审计的信息 advance的配置 2.重启ranger登录uI观察 2.1 user导入情况 观察group的导入情况 另外可以通过日志观察同步的情况确定同步是否有问题 3.测试ranger情况 1
Ranger】基于Ranger+LDAP限策略方案
lsr40的博客
05-10 5469
本文并不是解决具体某些什么问题,更相当于一个解决方案,而且是各个云厂商相对通用的解决方案。 当我们使用各个框架的时候,总有各种各样的限,关系型数据库的限可能相对比较好处理,大多数都是创建个账号,grant授下增删改查的限 但是到了大数据领域,如hdfs的目录和文件的限,hive中的表,hbase中的表,presto中的表等等相关的一堆框架限又如何控制呢? 这时候,我们需要2个东西,一个叫授(Authorization),一个叫认证(Authentication) 一、授 我们.
Ranger2.4+OpenLdap 用户限管理
qq_41838722的博客
07-13 1371
使用openldap做统一用户管理,使用ranger做用户限管理。
Ldap+Kerberos+Ranger用户限管理
sunxunyong的博客
07-30 2030
一、Ldap中创建 demo 用户 1、生成密码: slappasswd -h {md5} -s “oscPassw0rd” 2、编辑ldif文件,修改用户、密码和id vi create_user_demo.ldif #################################3 dn: uid=demo,ou=People,dc=asiainfo,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: sha
大数据大数据安全组件Ranger
wnm23的专栏
03-30 1866
Apache Ranger 是Hadoop平台上操作、监控、管理数据安全的集中式安全管理框架。Ranger的愿景 是在 Apache Hadoop生态系统中提供全面的安全性。
数据虚拟化引擎openLooKeng: 不搬运数据,只是数据的连接器
penriver的博客
01-06 5079
openLooKeng 是一款面向大数据库的数据虚拟化引擎,提供统一 SQL 接口,具备跨数据源/数据中心分析能力以及面向交互式、批、流等融合查询场景。同时增强了前置调度、跨源索引、动态过滤、跨源协同、水平拓展等能力openLooKeng 使用了开源 SQL 引擎 Presto 来提供交互式查询分析基础能力,并继续在融合场景查询、跨数据中心/云、数据源扩展、性能、可靠性、安全性等方面发展,让数据治理、使用更简单。
如何使用Ranger增强限管理?
openLooKeng的博客
04-15 491
日前,openLooKeng发布了新版本v1.2.0。在易用性和安全性上,该版本优化了数据加载性能,新增结果分页显示、动态添加目录等新功能,为用户提供更加友好的使用界面;同时也丰富了Ranger的功能,使openLooKeng可以提供更高细粒度的限控制。 本期,openLooKeng的开发工程师 - 马晓琦老师将为小伙伴们详细解读限管理的内容。当然,您可以面对面跟老师交流 • • • openLooKeng是一款开源的高性能数据虚拟化引擎,提供统一SQL接口,具备跨数据源/数据中心分析能力,为大数据
hive3.1+ranger限控制,sql中如果有``会报错执行不了
06-04
<think>嗯,用户提出了一个具体的技术问题:在使用Hive3.1和Ranger进行行级限控制时,SQL语句中的反引号导致执行报错。这个问题看起来和SQL语法解析有关,需要结合Hive和Ranger的交互机制来分析。用户引用了FlinkSQL和Hive的相关文档,但核心问题在于Hive的语法解析特性。从技术角度看,Hive在处理反引号包裹的列名或表名时比较敏感,特别是在通过Ranger插入行级过滤条件(如WHEREregion='hangzhou')的场景下。当原始SQL已经包含反引号,Ranger动态追加的条件可能破坏语法结构。用户可能正在部署数据限系统,遇到报错后中断了工作流程。ta引用FlinkSQL的解决方案作对比,说明需要跨组件经验。深层需求应该不仅是解决报错,更要建立标准的SQL编写规范。想到三个技术关键点:一是Hiveparser对反引号的严格校验机制;二是Ranger在query预处理阶段的hook位置;三是反引号在Hive元数据中的存储逻辑。通过强制统一标识符大小写处理,理论上可以避免使用反引号。需要提醒用户注意Hive3.1的特殊性——相比旧版本,它对ANSISQL标准的兼容性更严格。另外观察到用户引用的资料里有提到Flink-CDC版本号,可能ta的环境还涉及实时数据同步,但当前问题应聚焦在Hive静态查询层。最终建议采用三重防护策略:代码规范(预防)+转义处理(应急)+版本验证(根治)。特别要强调Ranger插件的版本兼容性,因为hiveserver2-ranger-plugin在3.1版本的重构日志里提到过改进SQL解析器交互方式。</think> 针对 Hive 3.1 与 Ranger 集成时行级限控制 SQL 因反引号(``)导致的执行错误问题,以下是系统化的解决方案: --- ### **根本原因分析** 1. **Ranger 动态注入机制冲突** Ranger 在应用行级限策略时,会向原始 SQL **动态追加 `WHERE` 条件**(如 `WHERE region = 'hangzhou'`)。若原始 SQL 使用反引号包裹标识符(如表名、列名),注入的条件可能导致语法结构破坏,引发解析错误[^2]。 2. **Hive 解析器兼容性问题** Hive 3.1 对 SQL 语法解析更严格,反引号在某些场景下(如子查询、JOIN 操作)可能与 Ranger 的条件注入位置冲突,造成 `ParseException`。 --- ### **解决方案** #### **1. 统一标识符规范(推荐)** ```sql -- 禁用反引号写法 ❌ SELECT `id`, `name` FROM `db`.`table` WHERE `dept` = 'IT'; -- 改用小写字母标准命名 ✅ SELECT id, name FROM db.table WHERE dept = 'IT'; ``` **原理**:避免反引号可消除 Ranger 条件注入时的语法歧义,适配 Hive 解析规则[^2]。 #### **2. 修改 Ranger 策略定义** 在 Ranger 策略配置中强制启用 **大小写不敏感模式**: ```xml <!-- Ranger Policy 配置示例 --> <property> <name>hive.security.authorization.sql.standard.whitelist</name> <value>true</value> <!-- 启用 ANSI SQL 标准模式 --> </property> ``` **效果**:阻止 Ranger 对标识符添加隐式反引号,从源头规避冲突[^1]。 #### **3. 条件转义处理** 若必须保留反引号,需手动转义动态条件: ```sql -- 原始 SQL SELECT `id` FROM `sales`; -- Ranger 注入后修正(添加括号隔离) SELECT `id` FROM `sales` WHERE (`region` = 'hangzhou'); ``` **关键点**:通过 `()` 明确划分原始语句与注入条件,避免语法粘连[^2]。 #### **4. 验证组件兼容性** 确认版本兼容矩阵: | **组件** | **要求版本** | **验证点** | |----------------|---------------------|------------------------------| | Hive | 3.1.x | 检查 `hive.exec.parser` 配置 | | Ranger | ≥2.0 且适配 Hive 3.1 | 确认 `ranger-hive-plugin` 版本 | | Hive-Ranger 插件 | 与 Hive 3.1 匹配 | 检查插件加载日志 (`ranger-hive-audit.xml`) | > ⚠️ 版本不匹配是常见根因,需严格对齐官方兼容表。 --- ### **操作验证步骤** 1. **部署标准命名 SQL** ```sql CREATE TABLE test_db.employee (id INT, name STRING, dept STRING); INSERT INTO test_db.employee VALUES (1, 'Alice', 'HR'); ``` 2. **Ranger 策略配置** ```sql GRANT SELECT ON TABLE test_db.employee TO USER analyst WITH GRANT OPTION; ADD POLICY dept_filter ON test_db.employee COLUMNS (dept = 'HR'); ``` 3. **执行测试查询** ```sql -- 用户 'analyst' 执行 SELECT id, name FROM test_db.employee; -- 实际执行: SELECT id, name FROM test_db.employee WHERE dept = 'HR'; (无反引号) ``` **预期结果**:返回 `dept='HR'` 的数据,无语法报错。 --- ### **技术总结** | **问题根源** | **解决方案** | **有效性** | |---------------------------|-----------------------------|----------| | 反引号导致语法冲突 | 禁用反引号,使用标准小写命名 | ⭐⭐⭐⭐⭐ | | Ranger 条件注入位置错误 | 用括号隔离动态条件 (`WHERE (...)`) | ⭐⭐⭐⭐ | | 组件版本不兼容 | 对齐 Hive 3.1 + Ranger ≥2.0 | ⭐⭐⭐⭐ | 通过规范命名 + 版本对齐 + 策略优化,可彻底解决反引号导致的语法中断问题[^1][^2]。 --- ### 相关问题 1. Hive 3.1 中如何通过Ranger实现字段级动态脱敏? 2. 如何调试 Ranger 与 Hive 集成时的策略生效机制? 3. Hive 行级限控制与 FlinkSQL 方案的核心差异是什么?[^1][^2] 4. Ranger 策略冲突时的优先级判断规则?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值