问题

ranger整合LDAP时，同步用户失败，报错401
ranger usersync日志如下

问题分析

由上面的日志可知，同步进程从ldap中查询的用户跟在ldap服务器上用命令查询的用户一致。也就是说，ldap数据已经查询完成。
但是在get user mappings时打印401权限报错
查看源码，发现是在LdapPolicyMgrUserGroupBuilder.java类中755行出问题的，如下

登陆6080 ranger界面，发现

没有rangerusersync用户。
尝试手动添加时报错Logged in user is not allowed to create/update user
得知rangerusersync用户已经登陆，不能create

既然是mysql的问题，就对mysql中ranger库进行检查
查询跟同步相关的ranger数据库的表
select * from ranger.x_portal_user;


use ranger；
select * from x_portal_user_role;

发现rangerusersync的user_role为ROLE_KEY_ADMIN不同于其他的internal用户
ranger数据库的schema

查询上面ranger数据库的schema发现

x_portal_user_role，This table contains role details of users. An user roles may be ‘ROLE_SYS_ADMIN’ or ‘ROLE_USER’. user_id of this table is a foreign key of x_portal_user(ID)
ROLE_KEY_ADMIN这种情况产生原因暂不清楚

尝试update x_portal_user_role set user_role=‘ROLE_SYS_ADMIN’ where user_id=3;
后再次同步，同步进程正常

问题解决方案

若再遇到usersync日志401报错，
可登陆ranger数据库
select user_role from ranger.x_portal_user_role
where user_id=(select id from ranger.x_user where user_name=”rangerusersync”);

查看x_portal_user_role表中rangerusersync用户的user_role是否为ROLE_SYS_ADMIN，若不是，则修改。