Apache Ranger提供集中式的权限管理框架,可以对Kafka进行细粒度的权限访问控制,并且提供了Web UI方便管理员进行操作。

创建集群

  • 新建Kafka集群时,在E-MapReduce控制台,直接勾选Ranger组件。create_kafka
  • 已有Kafka集群,可以在集群管理页面添加Ranger服务。add_service
    说明
    • 开启Ranger后和设置安全控制策略之前,不会对应用程序产生影响和限制。
    • Ranger可以设置集群中的Linux用户和LDAP用户的用户策略。

访问Ranger UI

在访问Ranger UI之前,需要确认已设置安全组,即Hadoop集群允许您通过当前网络访问该集群。具体详情请参见访问链接与端口

  1. 登录阿里云E-MapReduce控制台
  2. 在顶部菜单栏处,根据实际情况选择地域(Region)和资源组
  3. 单击上方的集群管理页签。
  4. 集群管理页面,单击相应集群所在行的详情
  5. 在左侧导航栏中,选择访问链接与端口
  6. 单击RANGER UI所在行的链接。
    您可以通过链接访问Ranger UI。
  7. 在Ranger UI登录界面,输入用户名和密码(默认的用户名和密码均为admin)。
    Ranger UI
    说明 如果默认密码被修改无法登录时,请参见常见问题
  8. 首次登录后,需要修改密码。
    1. 单击上方的Settings
      修改密码
    2. 修改admin的密码。
      修改密码
    3. 单击右上角的admin > Log Out
      使用新的密码登录即可。

用户管理

您可以使用Ranger对用户或用户组进行权限管理。

用户或用户组可以来自本地Unix系统或者LDAP,推荐使用LDAP:

常见问题

Q:默认密码无法登录Ranger UI时,如何处理?

A:如果默认密码被修改,您可以按照如下方法处理:
  1. 登录集群的Master节点,详情请参见使用SSH连接主节点
  2. 执行如下命令重置admin的密码。
    mysql -urangeradmin -prangeradmin
update ranger.x_portal_user set password="ceb4f32325eda6142bd65215f4c0f371" where login_id="admin";