TT Bigdata
JaneTTR
2026-02-15
目录

Ranger HDFS Repository 快速处理

需要 ttr-release 版本 >= 2.2.3

Ambari 3.0.0 + Free IPA 统一认证体系 示例环境:Kylin V10 SP3 x86,Realm = TEST.COM

# 一、适用场景

出现以下现象时,可以直接按本文快速处理:

  • Ranger HDFS Repository 创建失败(Ambari 自动化创建或手工创建均异常)
  • Ranger Admin/Usersync 日志提示用户解析失败、会话建立失败、或用户/组迟迟不同步
  • FreeIPA 已接入(LDAP/LDAPS),但目录用户未完整准备

处理目标

1)补齐 FreeIPA 目录中的关键用户;2)强制触发 Usersync 立即同步,避免等待 1 小时周期。

# 二、最终修复:补齐 FreeIPA 关键系统用户

在排查过程中,通过逐一验证发现:目录侧缺少 Ambari/Ranger 流程中会用到的基础用户,导致后续校验、会话与鉴权链路异常。

# 1、补齐用户(示例)

ipa user-add ambari-qa \
  --first=ambari-qa --last=ambari-qa --shell=/sbin/nologin

ipa user-add hbase \
  --first=hbase --last=hbase --shell=/sbin/nologin
1
2
3
4
5

image-20260215133615280

image-20260215133816513

# 2、这些用户从哪里来

字段依据(来自 Ambari 创建 service 的 JSON)

  • ambari.service.check.user
  • policy.download.auth.users
  • tag.download.auth.users

这些字段引用的用户如果在 FreeIPA 中不存在,Ranger/Usersync 在会话、校验与鉴权路径上就会出现“创建失败但原因不直观”的现象。

# 三、强制触发 Usersync:为什么必须重启

补齐用户后,并不会立刻在 Ranger Admin 里可见,原因是 Usersync 存在最低同步周期限制。

# 1、最低同步周期:1 小时

Usersync 日志会明确提示:同步周期低于 3600000ms(1h)会被强制回退。

image-20260215135449402

关键点

即便在 Ambari 里把同步间隔改成 1 秒,也会被 Usersync 启动时自动覆盖回 1 小时,因此不能靠改配置“立即生效”

# 2、因此只能用“重启”触发立即同步

补全用户后建议立刻重启 Usersync,让它执行一次 initial load 同步。

image-20260215135401314

# 四、验证结果:用户同步成功

重启完成后,Usersync 会立刻进行一次同步,日志中能看到用户/组同步成功的统计信息(上面的日志也会有对应提示)。

image-20260215135322665

#Ranger Admin#Kerberos#FreeIPA#Usersync#HDFS Repository#LDAP
Ranger Admin 证书快速导入脚本
Ranger HBase / Yarn Repository 快速处理

Ranger HBase / Yarn Repository 快速处理

最近更新
01
Ranger Admin LDAP 认证报 Bad credentials 分析
02-15
02
Ranger Admin LDAP 认证报 Bad credentials 处理
02-15
03
Ranger Admin 证书快速导入脚本
02-15
更多文章>
Theme by Vdoing | Copyright © 2017-2026 JaneTTR | MIT License