Обновление разрешений Apache ranger через третью сторону

#authorization #apache-ranger

#авторизация #apache-ranger

Вопрос:

Я пытаюсь выяснить, есть ли возможность обновить разрешения при apache ranger доступе пользователя через третью сторону, которая содержит его разрешения. например: пользователь пытается получить доступ к таблице hive, защищенной политикой тегов, прежде чем рейнджер проверит свои привилегии, он запускает вызов script api, чтобы проверить у третьей стороны, действительно ли у этого пользователя есть доступ (если он недавно получил доступ от другой стороны)

Есть ли такая возможность в Ranger или что-то подобное?

Заранее спасибо!

Ответ №1:

@coading_potato Ranger не применяет политики, давайте поговорим о HDFS, поэтому в этом случае Namenode будет получать политики от администратора Ranger и сохранять копии политик в policaycache.файл json. Каждый раз, когда происходит какая-либо операция hdfs, namenode считывает политики из policaycache.файл json.

Если вы удалите ranger, политики все равно будут работать.

Что касается автоматизации создания политик, вы, конечно, можете использовать скрипты, но это не было бы хорошей практикой.

Я понимаю из вопроса, что у вас есть политики на основе тегов, поэтому я бы предложил теги и группы для создания политик. Это, безусловно, сократит вашу работу.

Комментарии:

1. Спасибо за исправление, теги и группы — это действительно направление, в котором я иду, однако мне было интересно, возможно ли запустить скрипт, прежде чем, скажем, Namenode получит политики от ranger, чтобы проверять / обновлять пользователей, принадлежащих к определенным группам, через третью сторону?

2. Прямо сейчас я создаю синхронный скрипт, который обновляет группы и политики и ищет способы сократить время выполнения скрипта

3. @coding_potato Конечно, вы можете сократить время выполнения, вы можете заставить свой скрипт читать файл policycache, который находится в формате jason, с помощью утилиты #jq вы можете проверить, имеет ли определенный пользователь доступ к определенным ресурсам, в том же месте, где у нас есть файл policyache, будут метаданные тега. /etc/ranger/<имя_сервиса кластера>/policycache