鉴权配置

前提条件

• 命名空间已开启HDFS服务。
• 当需要与Hortonworks HDP或Cloudera CDH对接时，请参考《HDFS与Hortonworks HDP对接配置指南》或《HDFS与Cloudera CDH对接配置指南》完成Sentry与Ranger的相关配置。

操作步骤

1. 选择“资源 > 资源 > 命名空间”。
2. 在左上方的“帐户”下拉框中选择需要配置鉴权模式的命名空间所属的帐户。
3. 单击命名空间名称，进入详情页面，选择“协议 > HDFS ”。
4. 单击“鉴权配置” 。

   系统弹出“鉴权配置”页面。

5. 选择鉴权模式。包括：
   • none：无需进行对接。
   • ranger：与Hortonworks HDP进行对接时选择此项。

     设置ranger鉴权的的相关参数，如表1所示。

     表1 ranger鉴权参数

     参数名称	参数说明
     服务名	在Ranger上配置的HDFS服务名。 说明： 服务名总长度不超过50位。 服务名只能包含字母、数字、“_”和“-”。
     Ranger URL	Ranger Admin地址。
     周期（ms）	获取Policy的周期，默认30000ms。 说明： 取值范围为1000ms-120000ms。
     缓存策略	当客户端能连通rangerurl，但是找不到对应servicename时，是否清除本地缓存。默认配置”不使用缓存“，建议不使用缓存。
     KeyStore文件	SSL通讯需要的keystore文件。 说明： 当Ranger服务配置SSL时需要上传。
     KeyStore密钥文件	keystore密码文件。 说明： 当Ranger服务配置SSL时需要上传。
     TrustStore文件	SSL通讯需要的truststore文件。 说明： 当Ranger服务配置SSL时需要上传。
     TrustStore密钥文件	truststore密码文件。 说明： 当Ranger服务配置SSL时需要上传。

   • sentry：与Cloudera CDH进行对接时选择此项。
     设置sentry鉴权的的相关参数，如表2所示。

     表2 sentry鉴权参数

     参数名称	参数说明
     Sentry地址	sentry服务器的地址，取值为CDH的配置文件hdfs-site.xml中配置项sentry.hdfs.service.client.server.rpc-addresses，格式为“IP：端口(可选)”，需要将sentry主机名替换为实际使用的IP地址。 说明： Sentry地址不支持配置多个地址。若CDH计算侧有多个Sentry地址，此处配置一个即可。
     Sentry端口	sentry服务器端口，取值为CDH的配置文件hdfs-site.xml中配置项sentry.hdfs.service.client.server.rpc-port。
     安全模式	安全模式分为“Kerberos”和“Simple”，根据CDH客户端实际使用的安全模式填写。
     Keytab文件	在Kerberos服务上创建的Kerberos用户生成的keytab文件。 说明： 当安全模式为“Kerberos”时需要进行上传。
     Principal	sentry服务的principal。以CDH5.14.4为例，登录CDH管理界面，“管理”>“安全”>“Kerberos凭证”，搜索sentry关键词，获取到的主体部分，即为Principal的取值。 说明： 当安全模式为“Kerberos”时需要进行上传。
     周期（ms）	sentry权限的同步周期，单位为ms，取值500~30000。
     本地缓存失效时间（ms）	本地缓存失效时间，建议取值大于周期，单位为ms，取值500~120000。
     路径前缀	Sentry权限控制的目录，默认为“/user/hive/warehouse”。
     对接CDH版本	分为“CDH5.16以及之后的版本”和“CDH5.16之前的版本”。

6. 单击“确定”。
7. 按照界面提示完成确认操作。