Kerberos环境下Ranger权限同步全解析:手动创建用户vs usersync插件对比

原创 于 2026-02-19 07:15:26 发布 · 497 阅读 · 19
标签
#Ranger #Kerberos #Hadoop #权限管理

Kerberos环境下Ranger权限同步全解析:手动创建用户vs usersync插件对比

在大型企业数据平台建设中,权限管理始终是安全架构的核心挑战。当Hadoop生态遇上Kerberos强制认证,Ranger作为集中式权限控制方案,其用户同步机制的选择直接影响着运维效率与系统可靠性。本文将深入剖析手动创建用户与usersync插件两种模式在Kerberos环境下的真实表现,通过实测数据揭示关键决策点。

1. 两种用户同步机制的技术解剖

1.1 手动创建用户的实现路径

手动创建用户是Ranger最基础的权限分配方式,其核心流程包括三个关键步骤:

  1. Kerberos主体映射:在KDC服务器创建principal后,需确保krb5.conf中的域名与Ranger服务配置完全一致。典型配置示例:

    [realms]
EXAMPLE.COM = {
  kdc = kdc-server.example.com
  admin_server = kdc-server.example.com
}

  2. Ranger控制台操作

    • 登录Ranger Admin UI后进入Users/Tab页面
    • 点击"Add New User"按钮时需特别注意:
      • External ID字段必须与Kerberos principal完全匹配(如user1@EXAMPLE.COM
      • User Role建议选择普通用户角色(避免过度授权)

  3. 权限继承验证:通过kinit获取票据后,使用以下命令测试权限有效性:

    kini
最低0.47元/天 解锁文章
salt9
关注
kerberoskerberos创建用户和keytab文件
Mrerlou的博客
08-15 4111
将生成的keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberos 和 keytab 文件。user01 为用户名。111111 为密码。
kerberos的使用
weixin_42728895的博客
03-08 2588
KDC常用操作 kadmin.local :打开KDC控制台,需要root权限 addprinc :添加用户 添加用户,密码随机 addprinc -randkey root/admin 添加用户,输入用户密码 addprinc root/admin delprinc :删除principle delprinc hdfs/admin xst -k keytab文件 用户:导出keytab文件 xst -k /xxx/xxx/kerberos.keytab hdfs/admin getprinc
Kerberos从入门到精通以及案例实操系列(二)
prefect_start的博客
06-05 1393
所以在安Hadoop环境下,Kylin不需要做额外的配置,只需要具备一个Kerberos主体,进行常规的认证即可。若Presto对接的是Hive数据源,由于其需要访问Hive的元数据和HDFS上的数据文件,故也需要对Hive Connector进行Kerberos认证。启用Kerberos认证之后,关闭HBase时,需先进行Kerberos用户认证,认证的主体为hbase。但是Kylin所依赖的HBase需要进行额外的配置,才能在安Hadoop环境下正常工作。以下说明均基于普通用户
【大数据安-KerberosKerberos-Windows本地认证
weixin_53543905的博客
03-31 3314
1、Windows 本地的 krb5.ini 文件不能直接使用 krb5.conf 文件更名替换,否则会出现文件格式的问题导致 MIT Kerberos 客户端无法正常启动。2、在生成 keytab 文件时需要加上参数,否则会导致 kinit 时密码错误。3、在 Windows 本地安装了 Java 环境后,由于 Java 里也有 kinit、klist 等命令,所以需要在 Path 环境变量里面,将 Kerberos环境变量位置调整到Java环境变量的前面。
kerberos 生成新用户和 keytab 文件
骑着蜗牛向前跑的博客
02-04 1511
如果想让 Ranger 捕获到 test1 用户,需要将该用户添加到 linux 用户中。几分钟后 test1 会被 Ranger 自动捕获。
kerberos下新增租户步骤
sunxunyong的博客
07-02 365
或kadmin.local: xst -k admin.keytab -norandkey admin/admin@EXAMPLE.COM。2、查看principal 检查principal保证要建的principal没有。ktadd -k /etc/***.keytab 用户/组@realm。addprinc -randkey 用户/组@realm。Addprinc -pw **** 用户/组@realm。kadmin.local或kadmin。3、生成随机key的principal。
OpenLDAP + Ranger +Kerberos 三方集成实现身份、权限认证
z_ran的博客
12-15 2510
OpenLDAP+Kerberos+Ranger集成
Kerberos (五) --------- Hive 用户认证配置
在森林里麋了鹿
11-02 1862
Hive 用户认证配置
用户认证与Kerberos
西青年·部落格
08-27 4214
(1)用户认证分为两类:一种是基于对称加密的远程用户认证,第二种是基于非对称加密的远程用户认证。但是,不论是基于对称加密的,还是基于非对称加密的,每一种认证又可以按照是否双方都需要互相认证对方的身份而分为:单向认证和双向认证。 (2)基于对称加密的远程用户认证:不需要公私钥,但是需要KDC(Key Distribution Center,密钥分发中心)的存在。不论是单向认证还是双向认证,都需要K
kerberos安装配置与使用
lovebomei的博客
04-03 3万+
1.Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安性 2.1. 环境配置   安装k...
Kerberos常用命令
memoordit的专栏
03-26 1万+
进入kerberos 控制台 kadmin.local 添加用户,生成实例 add_principal, addprinc, ank addprinc -randkey xxxx@xxxxT.COM 为各实例生成密钥 xst -k xxxx.keytab xxxx@xxxxT.COM 或 kadmin.local -q "xst -k xxxx.keytab xxxx@xxx...
NiFi相关:Kerberos认证下用户创建和授权相关
weixin_34232744的博客
05-15 912
2019独角兽企业重金招聘Python工程师标准>>> ...
kerberos认证搭建安装
tiki的博客
12-14 3464
kerberos认证搭建安装一、Kerberos简介1.Kerberos2.Kerberos认证流程2.1客户端认证2.2服务授权2.3服务请求3.kdc集群3.1安装包3.2术语二、安装搭建1.服务器安装1.1安装命令1.2修改配置1.2.1修改KDC的配置文件1.2.2配置KDC服务的权限管理文件1.2.3修改Kerberos的配置文件信息1.3初始化KDC数据库1.4启动1.5KDC 服务器上添加超级管理员账户2.搭建Kerberos客户端环境3.登录验证三、基本命令操作1.登录管理员模式2.基本操作
数仓 用户认证 Kerberos Hive用户认证配置
weixin_45417821的博客
02-01 2782
文章目录前置要求Hadoop集群启动Kerberos认证创建Hive系统用户Kerberos主体启动hiveserver2Hive Kerberos认证使用说明beeline客户端DataGrip客户端新建Driver新建连接 前置要求 Hadoop集群启动Kerberos认证 按照上述步骤为Hadoop集群开启Kerberos认证。 创建Hive系统用户Kerberos主体 1,创建系统用户 [root@hadoop102 ~]# useradd hive -g hadoop [root@hado
Kerberos配置
qq_36191174的博客
09-06 2932
目录 1.主机配置步骤 1.1安装并开启ntp服务 1.2安装kerberos服务器 1.3修改配置 1.4创建/初始化kerberos database 1.5使用kadmin.local新增用户 1.6启动kerberos服务 1.7 测试登陆 2.客户机端配置 2.1安装并开启ntp服务 2.2安装kerberos客户机端 2.3修改客户机配置 2.4测试客户机连接...
hadoop 添加kerberos认证
hua840812的专栏
03-21 4362
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoopkerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
kerberos基本操作
xiajinqian的博客
02-08 2985
kerberos基本操作 kerberos创建用户 kerberos查询 生产keytab文件
stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例(单片机原理与应用)(金龙国)电子教案
最新发布
06-21
stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例《单片机原理与应用》(金龙国)电子教案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值