Hive/impala的kerberos和sentry相关问题

最新推荐文章于 2024-08-09 10:37:19 发布
最新推荐文章于 2024-08-09 10:37:19 发布
阅读量3k 收藏 3
点赞数
分类专栏: bigdata 文章标签: kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/terrorblade1235/article/details/76685714
版权
本文详细介绍了通过Kerberos认证的四种方式,包括Simple Hadoop Client、Service Account Authorization、Kerberos Impersonation和Single Sign On,并重点讲解了Kerberos Impersonation的实现。在开启Sentry后,讨论了Hive与Impala在权限管理上的变化,尤其是在Kerberos环境下的应对策略。
摘要由CSDN通过智能技术生成

self application通过kerbeos认证的四种方式

Simple Hadoop Client

  • 这种方法不包含任何的认证,他依赖于当前机器已经取得TGT,这对于服务或者需要长时间运行的程序不适用,因为TGT可能会过期。每个用户在使用时都需要kinit先获取TGT

Service Account Authorization

  • 这种方法为Kerberos创建一个service account(服务的principal),所有的用户都将使用这个service account来进行认证,而不是每个用户都需要使用自己的账户进行认证。随之带来的问题是,由于所有的用户都使用相同的service account来进行认证,无法在HDFS上建立基于用户的权限控制。 步骤如下
    • 1.创建Service Principal
 kadmin -q "addprinc -randkey myapplication/myhost@CLOUDERA"
Authenticating as principal cloudera-scm/admin@CLOUDERA with password.
Password for cloudera-scm/admin@CLOUDERA:
WARNING: no policy specified for myapplication/myhost@CLOUDERA; defaulting to no policy
Principal "myapplication/myhost@CLOUDERA" created.

  • 注: 其中-randkey是为了使用一个随机的密钥进行加密,而不是使用用户的密码加密。

    • 2.为了查看Principal是否生成,可以执行以下代码
kadmin -q "getprinc myapplication/myhost"
Principal: myapplication/myhost@CLOUDERA
Expiration date: [never]
Last password change: Tue Jul 28 14:35:16 PDT 2015
  • 3.然后,将此Principal倒入keytab文件。后面我们将使用这个keytab文件来认证。
kadmin -q "xst -k myapplication.keytab myapplication/myhost"

注:上面的xts是指对所有的加密方式都生成一个Principal。
* 4.可以通过Klist查看keytab

klist -ke myapplication.keytab
  • 5.示例代码如下:
class FileCount {
public static void main(final String[] args) throws IOException, FileNotFoundException, InterruptedException{

UserGroupInformation ugi = UserGroupInformation.loginUserFromKeytabAndReturnUGI("myapplication/myhost", "myapplication.keytab");
ugi.doAs( new PrivilegedExceptionAction() {
    public Void run() throws Exception {
        String path = "/";
        if( args.length > 0 )
            path = args[0];

        FileSystem fs = FileSystem.get(new C
最低0.47元/天 解锁文章
terrorblade1235
关注
专栏目录
CDH6.2 集成SentryHive,Hue,Impala权限控制
简单的心的博客
07-02 6228
公司最近Hadoop集群和其他服务机器复用严重,提供了新机器,想将Hadoop集群迁出。 Hadoop使用的CDH集成环境,从CDH5.3跨越到CDH6.2 之前在CDH5.3上将hive从0.13升级到1.2.1。然后做了hive权限控制 详情见https://blog.csdn.net/u012422198/article/details/94434445 想在CDH6.2中同样来一套...
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
DbVisualizer 使用Impala驱动连接Hive数据库,并带有kerberos认证
小哇
11-12 774
impala驱动文件使用Cloudera提供的Cloudera Impala JDBC库,从以下路径下载。 https://www.cloudera.com/downloads/connectors/impala/jdbc/2-6-3.html 下载后解压,使用JDBC41的jar包作为驱动包(如下图所示)连接字符串:jdbc:impala://bdcloud03:10000/ods连接字符串:jdbc:impala://bdcloud02:21050/default;AuthMech=1;Krb.
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问_idea连接 kerberos 认证的hiveserver2_hive开启 kerberaos认证
最新发布
heike_Ch的博客
08-09 664
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
ImpalaHive集成SentryKerberos认证
weixin_34137799的博客
12-13 520
2019独角兽企业重金招聘Python工程师标准>>> ...
kerberossentry 原理及使用
heqingcool的博客
06-07 779
安全认证与权限管理的必要性 非安全集群 安全认证集群 多租户设计愿景 kerberos kerberos原理 Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。 在cdh大数据平台中充当这秘钥的角色,cdh平台中组件会集成ker
记一次Dbeaver连接Kerberos认证下的impala
SimpleCow的博客
12-30 4881
Kerberos认证环境下的数据库不能直接使用用户名密码登录,需要到认证服务器上获取认证 一、准备 kerberos安装包 https://web.mit.edu/kerberos/dist/index.html dbeaver数据库安装包 开源的直接搜索下载即可 数据库连接驱动 https://www.cloudera.com/downloads/connectors/impala/odbc/2-6-0.html krb5.keytab和krb5.conf,需
CDH配置KerberosSentry (超详细)
summer089089的博客
07-22 5906
1.安全之Kerberos安全认证 1 Kerberos概述 1.1 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos不是k8s,Kubernetes简称k8s,是一个开源
CDH5.15启用kerberos+Sentry手册_v1.0.docx
04-10
对于使用Sentry的应用(如HiveImpala),需确保它们已配置为与Sentry通信,以便在执行查询时应用这些策略。 4. 测试和监控: 完成配置后,通过测试不同用户的访问权限来验证Sentry是否正常工作。同时,定期检查...
CDH6 开启kerberos HiveSentry 用户权限分配
萌兔兔MMQ!!
04-16 157
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 安全授权:Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。 细粒度访问控制:Sentry支持细粒度的Hadoop数据和元数据访问控制。在Hive
使用DBeaver访问Kerberos环境下的Hive
分享数据科学家的自我修养
04-19 2940
应用背景 有时想看看大数据平台上Hive表的结构和数据字典,或者对数据进行简单查询、核验,可以装一个SQL开发工具访问CDH集群中的Hive。 测试环境: CDH版本为5.13.1 客户端OS为Windows 10或Windows 7. 配置Kerberos客户端环境 在客户端OS Windows 10或Windows 7上安装Kerberos客户端,在Kerberos官网下载,地址如下, h...
CDH 之 Kerberos 安全认证和 Sentry 权限控制管理(一)
dzqxwzoe的博客
01-31 1112
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。ApacheSentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。
Kerberos环境测试hive,报错:main : run as user is test main : requested yarn user is tes User test not found
周源的专栏
07-16 6986
报错日志:log4j:WARN No such property [maxFileSize] in org.apache.log4j.DailyRollingFileAppender.Logging initialized using configuration in file:/etc/hive/2.6.1.0-129/0/hive-log4j.propertiesException in th...
hive权限用Sentry详细使用测试文档
张伟的专栏
01-16 1444
捐助大数据系列零基础由入门到实战视频大优惠 问题导读1.hive权限控制需要配置那个配置文件? 2.Hive授权的核心是什么? 3.如何实现 角色的授权和撤销? Hive从0.10版本(包含0.10版本)以后可以通过元数据来控制权限,Hive-0.10之前的版本对权限的控制主要是通过Linux的用户和用户组来控制,不能对Hive表的CREATE、SELEC...
sentry 到 ranger 系列】一、SentryHive 鉴权插件
weixin_45232029的博客
01-12 1414
代码走读 + 图文并茂,直击 SentryHive 鉴权插件灵魂深处
基于beeline连接kerberos认证的impala
张不帅
08-11 1896
文章目录基础配置jdbc 连接连接池 基础配置 下载impala驱动 https://downloads.cloudera.com/connectors/impala_jdbc_2.5.41.1061.zip 将TCLIServiceClient.jar 以及 ImpalaJDBC4.jar 两个文件夹存放在hive 的本地目录下,只需要配置hiveserver2的节点即可 连接 beeline -d "com.cloudera.impala.jdbc41.Driver" -u "jdbc:impala:
impala+kerberos配置
热门推荐
1032851561的博客
05-27 1万+
1.环境 centos 6.5 192.168.17.138 master NameNode,SecondaryNameNode,impala-catalog,impala-state-tore 192.168.17.153 slave1 DateNode,impala-server 192.168.17.156 slave2 DateNode,impala-server 2.安装K...
Impala配置Kerberos认证
a118170653的专栏
02-03 5759
关于 Kerberos 的安装和 HDFS 配置 kerberos 认证,请参考 HDFS配置kerberos认证。 关于 Kerberos 的安装和 YARN 配置 kerberos 认证,请参考 YARN配置kerberos认证。 关于 Kerberos 的安装和 Hive 配置 kerberos 认证,请参考 Hive配置kerberos认证。 请先完成 HDFS 、Y
亿级数据下HiveImpala中text、orc、parquet性能对比(一)
本文是一篇关于在Hadoop生态系统中,特别是HiveImpala两个查询引擎下,对比Text、Orc和Parquet三种数据存储格式性能表现的研究。作者首先强调了读者需要对Hadoop、HiveImpala、Kafka和Flink等技术有一定的了解,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值