如果您希望在配置Ranger的Policy时,能够对LDAP中的用户控制组件进行授权,可以使用usersync对接LDAP。
背景信息
配置方法
进阶配置
经过如上配置之后,Ranger已经将LDAP中的用户同步过来了,但是这些用户只同步了用户名信息,并没有同步LDAP中的用户组信息。如果用户希望在Ranger中设置Policy对组件进行授权的时候,也能对LDAP中的用户组进行权限统一设置,则需要同步LDAP中用户组中的信息。Ranger同步LDAP用户组的配置较为复杂,并且不是所有的LDAP用户组信息都能进行同步(目前EMR的OpenLDAP不支持同步用户组信息,需要您手动同步),主要修改的配置如下所示。
SYNC_LDAP_USER_GROUP_NAME_ATTRIBUTE = gitNumber
SYNC_GROUP_SEARCH_ENABLED = true
SYNC_GROUP_USER_MAP_SYNC_ENABLED = true
SYNC_GROUP_SEARCH_BASE = ou=group,o=emr
SYNC_GROUP_OBJECT_CLASS = posixGroup
SYNC_GROUP_NAME_ATTRIBUTE = cn
SYNC_GROUP_MEMBER_ATTRIBUTE_NAME = memberUid| 配置项 | 说明 |
|---|---|
| SYNC_LDAP_USER_GROUP_NAME_ATTRIBUTE | 用户entry中表示用户组的attribute的名称。例如:gitNumber(user objectClass=posixAccount)。
|
| SYNC_GROUP_SEARCH_ENABLED | 是否仅根据用户entry中记录的用户组attribute来确定用户组还是直接通过LDAP搜索所有用户组信息。true。
|
| SYNC_GROUP_USER_MAP_SYNC_ENABLED | 用户与用户组之间的映射关系是否通过LDAP搜索进行确定。例如:true。
|
| SYNC_GROUP_SEARCH_BASE | LDAP中用户搜索域。例如:ou=groups,dc=example,dc=com。
|
| SYNC_GROUP_OBJECT_CLASS | 用户组的objectClass类型。例如:posixGroup。
|
| SYNC_GROUP_NAME_ATTRIBUTE | 用户组entry中用户组名的标识。例如:cn。
|
| SYNC_GROUP_MEMBER_ATTRIBUTE_NAME | 用户组entry中标识用户组成员的attribute名称。例如:memberUid。
|
在文档使用中是否遇到以下问题
更多建议
匿名提交