买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
摘要:本发明涉及一种基于Ranger策略的HDFS权限收敛灰度上线实现方法。本方法包括:在RangerAdmin中设置HDFSACL黑名单策略,把需要将权限全部收敛到Ranger进行集中管理的用户和用户组配置到HDFSACL黑名单策略中;用户以指定的用户名访问HDFS的某个资源;确认该HDFS资源当前开启了附加Hadoop认证的功能;确认访问的用户名不在HDFSACL黑名单列表中;对该用户访问的资源的HDFSACL权限进行判断。本方法可通过RangerHDFSPlugin指定策略配置,逐步可控地安全、简单且高效地完成对HDFS集群的灰度权限收敛,本方法还可使同一个HDFS集群同时支持多种权限模型,可满足用户和用户组多种权限场景的应用需求。
主权项:1.一种基于Ranger策略的HDFS权限收敛灰度上线实现方法,其特征在于,所述方法包括:S1.在RangerAdmin中设置HDFSACL黑名单策略,把需要将权限全部收敛到Ranger进行集中管理的用户和用户组配置到HDFSACL黑名单策略中;S2.用户客户端从本地系统获取用户名或由用户指定用户名,然后以该用户名访问HDFS的某个资源;S3.使用Ranger默认的HDFS策略评估流程对用户访问的资源进行评估;S4.判断该HDFS资源当前是否开启了附加Hadoop认证的功能,确认开启了该功能后进行下步操作;如果没有开启该功能,则直接返回,仍采用Ranger策略进行权限评估;S5.判断访问的用户名是否在HDFSACL黑名单列表中,确认不在该列表中或者用户列表未配置时进行下步操作;如果在该列表中,则直接返回,仍采用Ranger策略进行权限评估;本步骤中的HDFSACL黑名单策略是通过扩展RangerHdfsAuthorizer类的功能实现的;RangerHdfsAuthorizer类继承自Hadoop的抽象类InodeAttributeProvider,RangerHdfsAuthorizer类中包含有内部类RangerAccessControlEnforcer,该内部类实现了HDFS的AccessControlEnforcer接口,该接口中包含checkPermission方法,在checkPermission方法中继续调用checkRangerPermission方法,通过checkRangerPermission方法进行权限校验时如果AuthzStatus是NOT_DETERMINED则会进一步调用checkDefaultEnforcer方法来确定AuthzStatus;在checkDefaultEnforcer中判断当前资源是否开启了附加Hadoop认证功能,确认开启之后,执行HDFSACL黑名单策略的校验逻辑,如果该策略返回的AuthzStatus为ALLOW,则表示访问资源的用户或用户组在HDFSACL黑名单策略中,则直接返回,不再执行HDFSACL权限校验的逻辑,否则表示访问资源的用户或用户组不在HDFSACL黑名单策略中,则进一步对其访问的资源的HDFSACL权限进行判断;S6.对该用户访问的资源的HDFSACL权限进行判断,包括:(1)如果该用户有权限,则返回允许,整体上允许用户访问本资源;(2)如果该用户没有权限,则进一步结合Ranger默认HDFS策略评估结果作出判断;S7.综合针对用户访问的资源的Ranger默认HDFS策略评估结果与HDFSACL权限判断结果,返回最终的评估结果。
全文数据:
权利要求:
百度查询: 中电云计算技术有限公司 基于Ranger策略的HDFS权限收敛灰度上线实现方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。