Kerberos与Ranger、KMS整合

环境：Ambari-2.4.2、HDP-2.5.3、CentOS 6.5

1.之前用的是HDP2.4，装上Kerberos后Ranger的策略就失效了，KMS对秘钥也无法管理（WEB端），总感觉是因为哪里没配置好，但装装卸卸好多遍还是不行。

http://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.3/bk_command-line-upgrade/content/upgrade-ranger_24.html#preparing_cluster_upgrade_ranger_2_4
2.在这个文档上看到一句话，Beginning with HDP 2.5.3, kerberos authentication is supported for Ranger and its plugins.这肯定不是说HDP2.5.3之前Ranger和Kerberos不能共存，我感觉应该是从HDP2.5.3开始，一些比如生成Ranger所需的实体操作，ambari都帮我们做了。

3.于是把HDP2.4换成了2.5…
Kerberos安装见 http://blog.csdn.net/dr_guo/article/details/53534927

4.安装Kerberos时，Ranger和KMS果然多了一些配置
Ranger的相关配置

KMS的相关配置

Ranger中的服务创建

我之后下面的5,6步没做也没问题，不知道为何。

5.上面的配置保持默认即可，之后Ranger要对HDFS进行管理，需要先开启HDFS插件然后为其创建对应的principal，并修改一些配置，详见文档：
http://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.3/bk_security/content/hdfs_plugin_kerberos.html

注意其中的第一步

Create the system (OS) user rangerhdfslookup. Make sure this user is synced to Ranger Admin (under Settings>Users/Groups tab in the Ranger Admin User Interface).

在Ranger所在的机器上创建用户才会同步，在集群别的机器上创建不会同步。

6.针对KMS也需要一些额外操作，详见文档：
http://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.3/bk_security/content/ch06s01s01s01s03.html

Ranger对KMS的策略管理和秘钥管理与对其它组件的策略管理web端口一样是6080，但对KMS的策略管理和秘钥管理只能使用keyadmin用户。