ranger-hdfs插件開啓
安裝Apache Ranger和Hadoop,ranger-hdfs插件開啓之後,管理員必須執行以下步驟:
-
將HDFS umask從022更改爲077這將防止所有者以外的任何人訪問任何新文件或文件夾。(如果不進行修改,用戶創建的hdfs文件權限爲:644、目錄權限爲:755,ranger授權形同虛設)
更改umask設置如下:
Ambari - HDFS - 配置參數 - advanced - 高級設置 hdfs-site
將值從022更改爲077
重啓hdfs組件之後,創建出來的hdfs文件(權限:600)及目錄(權限:700)
![在這裏插入圖片描述]()
-
知道哪個目錄由Ranger管理,哪個目錄由POSIX/HDFS/ACL管理。讓HDFS管理/tmp和/user文件夾的權限。
-
不要配置一個由Ranger和POSIX/HDFS/ACL權限控制的文件。這造成了權限控制的混亂。
-
如果文件由管理員控制,不要拒絕所有者的權限。
– Root是GPFS模式下的超級用戶。
– 如果要對一個文件執行某些操作(如刪除),請確保對其父目錄具有相應的訪問權限(wx)。
– 當一個用戶(例如u)刪除一個文件或文件夾時,請確保/user/u存在。如果沒有,可以手動創建/user/u並設置用戶和用戶組 u:u /user/u。
參考:https://www.ibm.com/support/knowledgecenter/en/STXKQY_BDA_SHR/bl1adv_securehdfs.htm
