鉴权配置

通过该操作，可以配置用户访问命名空间的HDFS服务时的鉴权模式。

前提条件

命名空间已开启HDFS服务。
当需要与Hortonworks HDP或Ranger或Cloudera CDH对接时，请参考《HDFS与Hortonworks HDP对接配置指南》或《HDFS与Cloudera CDH对接配置指南》完成Sentry与Ranger的相关配置。

操作步骤

选择“资源 > 资源 > 命名空间”。
在左上方的“帐户”下拉框中选择需要配置鉴权模式的命名空间所属的帐户。
单击命名空间名称，进入详情页面，选择“协议 > HDFS ”。
单击“鉴权配置” 。
系统弹出“鉴权配置”页面。

选择鉴权模式。包括：

none：无需进行对接。

ranger：与Hortonworks HDP或Ranger进行对接时选择此项。

设置ranger鉴权的的相关参数，如表1所示。

表1 ranger鉴权参数
参数名称	参数说明
服务名	在Ranger上配置的HDFS服务名。说明：服务名总长度不超过50位。服务名只能包含字母、数字、“_”和“-”。
Ranger URL	Ranger Admin地址。
周期（ms）	获取Policy的周期，默认30000ms。说明：取值范围为1000ms-120000ms。
缓存策略	当客户端能连通rangerurl，但是找不到对应servicename时，是否清除本地缓存。默认配置”不使用缓存“，建议不使用缓存。
KeyStore文件	SSL通讯需要的keystore文件。说明：当Ranger服务配置SSL时需要上传。
KeyStore密钥文件	keystore密码文件。说明：当Ranger服务配置SSL时需要上传。
TrustStore文件	SSL通讯需要的truststore文件。说明：当Ranger服务配置SSL时需要上传。
TrustStore密钥文件	truststore密码文件。说明：当Ranger服务配置SSL时需要上传。
安全模式	安全模式分为“kerberos”和“simple”，根据Ranger客户端实际使用的安全模式填写。
Keytab文件	在Kerberos服务上创建的Kerberos用户生成的keytab文件。说明：当安全模式为“kerberos”时需要进行上传。
Principal	在Kerberos服务上创建的Kerberos用户的principal。说明：当安全模式为“kerberos”时需要进行填写。

sentry：与Cloudera CDH进行对接时选择此项。

设置sentry鉴权的的相关参数，如表2所示。

表2 sentry鉴权参数
参数名称	参数说明
Sentry地址	sentry服务器的地址，取值为CDH的配置文件hdfs-site.xml中配置项sentry.hdfs.service.client.server.rpc-addresses，格式为“IP：端口(可选)”，需要将sentry主机名替换为实际使用的IP地址。说明： Sentry地址不支持配置多个地址。若CDH计算侧有多个Sentry地址，此处配置一个即可。
Sentry端口	sentry服务器端口，取值为CDH的配置文件hdfs-site.xml中配置项sentry.hdfs.service.client.server.rpc-port。
安全模式	安全模式分为“kerberos”和“simple”，根据CDH客户端实际使用的安全模式填写。
Keytab文件	在Kerberos服务上创建的Kerberos用户生成的keytab文件。说明：当安全模式为“kerberos”时需要进行上传。
Principal	sentry服务的principal。以CDH5.14.4为例，登录CDH管理界面，“管理”>“安全”>“Kerberos凭证”，搜索sentry关键词，获取到的主体部分，即为Principal的取值。说明：当安全模式为“kerberos”时需要进行填写。
周期（ms）	sentry权限的同步周期，单位为ms，取值500~30000。
本地缓存失效时间（ms）	本地缓存失效时间，建议取值大于周期，单位为ms，取值500~120000。
路径前缀	Sentry权限控制的目录，默认为“/user/hive/warehouse”。
对接CDH版本	分为“CDH5.16以及之后的版本”和“CDH5.16之前的版本”。

单击“确定”。
按照界面提示完成确认操作。

父主题： 管理命名空间