Ranger策略如何为HDFS工作（权限检查顺序）

为了确保HDP环境的安全性，我们建议所有客户实施Kerberos，Apache Knox和Apache Ranger。

Apache Ranger为HDFS提供联合授权模型。 用于HDFS的Ranger插件检查Ranger策略，如果存在策略，则授予用户访问权限。 如果Ranger中不存在策略，则Ranger将默认使用HDFS（POSIX或HDFS ACL）中的本机权限模型。 此联合模型适用于Ranger中的HDFS和Yarn服务。

对于其他服务，例如Hive或HBase，Ranger作为唯一授权者运行，这意味着只有Ranger策略生效。使用

 Ambari → Ranger → HDFS config → Advanced ranger-hdfs-security中的属性配置 回退模型选项

联合授权模型使客户能够在现有集群中安全地实施Ranger，而不会影响依赖POSIX权限的作业。 我们建议将此选项启用为所有部署的默认模型。

Ranger的用户界面使管理员可以轻松找到提供用户访问权限的权限（Ranger策略或本机HDFS）。 用户只需导航到Ranger→Audit并在审计数据的enforcer列中查找值。 如果Access Enforcer列中的填充值为“Ranger-acl”，则表示Ranger策略提供了对用户的访问权限。 如果Access Enforcer值为“Hadoop-acl”，则访问权限由本机HDFS ACL或POSIX权限提供。

翻译：https://fr.hortonworks.com/blog/best-practices-in-hdfs-authorization-with-apache-ranger/