CDP7.1.4升级到CDP7.1.6后,Ranger中Audit项的Access页面显示不全,文中将处理过程进行整理记录。
0. ENV
CentOS 7.6;
CDP 7.1.6;
CM 7.4.4。
1. 问题现象
1.1 Access页面显示不全
打开Ranger -> Audit -> Access,页面部分内容不能正常显示,之前显示正常。
Audit其它页面显示正常:
1.2 hive用户执行show database提示无use权限
1.3 日志中认证异常
more /var/log/ranger/admin/ranger-admin-namenode01.rundba.com-ranger.log2021-11-26 03:11:54,686 WARN org.apache.ranger.security.web.filter.RangerKrbFilter: AuthenticationToken ignored: org.apache.hadoop.security.authentication.util.SignerException: Invalid signed text: 2021-11-26 03:11:54,693 WARN org.apache.ranger.security.web.filter.RangerKrbFilter: AuthenticationToken ignored: org.apache.hadoop.security.authentication.util.SignerException: Invalid signed text: 2021-11-26 03:11:54,693 WARN org.apache.ranger.security.web.filter.RangerKrbFilter: Authentication exception: java.lang.IllegalArgumentException org.apache.hadoop.security.authentication.client.AuthenticationException: java.lang.IllegalArgumentException
看起来是ranger这边可能有些异常。
more /var/log/ranger/admin/catalina.out
2. 问题原因
1) 问题原因
ranger audit 不能显示的问题,是一个已知的bug导致,在7.1.7中有fix(CDPD-14423),workaround是重启ranger。由于bug导致Ranger权限不能正确调用,故提示hive用户无use权限。
2) BUG信息如下
CDPD-14423: Fixes Rangers connection to Solr to pull audit events from Solr Service
Ranger was unable to fetch Audit events from solr after expiry of kerberos ticket. This issue is resolved.
3) 官方参考
3 解决方法--重启Ranger服务
CM -> Ranger -> 操作 -> 重启
提示有依赖于Ranger的服务,点击”重启”
对于ranger来说,policy的数据在每个服务中都会有cache存在,因此ranger本身的重启不会对业务访问的鉴权有影响。生产环境重启ranger对业务无影响,对于及其谨慎的业务,可考虑协调业务方并安排停机时间执行。
重启完成后,再次打开Access后,页面正常。
hive执行show databases正常。
4 小结
CDP7.1.4升级到CDP7.1.6后,Ranger中Audit项的Access页面显示不全,触发ranger bug CDPD-14423,参考官方进行在线重启,条件允许时,也考虑进行fixup,升级到CDP7.1.7。
5 Ref:
https://my.cloudera.com/knowledge/Audit-entries-are-not-loading-in-Ranger-Admin-UI?id=315191 (内容详见上述 问题原因-> 官方参考)
https://docs.cloudera.com/cdp-private-cloud-base/7.1.7/runtime-release-notes/topics/rt-pvc-fixed-issues-ranger.html
不足之处,还望抛砖。
作者:王坤,微信公众号:rundba,欢迎转载,转载请注明出处。
如需公众号转发,请联系wx: landnow。
往期推荐
