ranger-hdfs插件开启
安装Apache Ranger和Hadoop,ranger-hdfs插件开启之后,管理员必须执行以下步骤:
-
将HDFS umask从022更改为077这将防止所有者以外的任何人访问任何新文件或文件夹。
更改umask设置如下:
Ambari - HDFS - 配置参数 - advanced - 高级设置 hdfs-site
将值从022更改为077 -
知道哪个目录由Ranger管理,哪个目录由POSIX/HDFS/ACL管理。让HDFS管理/tmp和/user文件夹的权限。
-
不要配置一个由Ranger和POSIX/HDFS/ACL权限控制的文件。这造成了权限控制的混乱。
-
如果文件由管理员控制,不要拒绝所有者的权限。
– Root是GPFS模式下的超级用户。
– 如果要对一个文件执行某些操作(如删除),请确保对其父目录具有相应的访问权限(wx)。
– 当一个用户(例如u)删除一个文件或文件夹时,请确保/user/u存在。如果没有,可以手动创建/user/u并设置用户和用户组 u:u /user/u。
参考:https://www.ibm.com/support/knowledgecenter/en/STXKQY_BDA_SHR/bl1adv_securehdfs.htm