hadoop的用户代理机制

原创 2015年11月18日 11:28:03


官方文档解读

参考Proxy user - Superusers Acting On Behalf Of Other Users

在hadoop的core-site.xml中进行如下设置, 用户“super”就可以代理主机host1和host2上属于组group1和group2的所有用户。

<property>
     <name>hadoop.proxyuser.super.hosts</name>
     <value>host1,host2</value>
   </property>
   <property>
     <name>hadoop.proxyuser.super.groups</name>
     <value>group1,group2</value>
   </property>

当然,也可以进行更松弛的设置。如下所示表示用户“oozie”可以代理所有主机上的所有用户。

  <property>
    <name>hadoop.proxyuser.oozie.hosts</name>
    <value>*</value>
  </property>
  <property>
    <name>hadoop.proxyuser.oozie.groups</name>
    <value>*</value>
  </property>

代理机制的验证

为了搞清楚“代理”的具体含义,参考Hadoop 2.0中用户安全伪装/模仿机制实现原理,我们做如下测试。


测试1

  1. 在hadoop的core-site.xml中配置好代理用户。不过,该文件中默认有hdfs代理所有用户的配置,如下所示。那么,后续步骤就以hdfs为代理用户。

    <property>
      <name>hadoop.proxyuser.hdfs.hosts</name>
      <value>*</value>
    </property>
    <property>
      <name>hadoop.proxyuser.hdfs.groups</name>
      <value>*</value>
    </property>
    
  2. 切换到hdfs,声明要代理的用户为ly

    hdfs@lyhadoop:~$ export HADOOP_PROXY_USER=ly
    
  3. 提交作业

    hdfs@lyhadoop:~$ hadoop jar /home/ly/wordcount.jar /user/ly/input/input.txt /user/ly/output22
    
  4. 查看作业界面

这里写图片描述

虽然此时的登录者为“hdfs”,但作业界面上显示的提交者为“ly”。那是因为我们在第2步设置了要被代理的用户为“ly”。

以上测试说明: hdfs提交了ly的作业,最终作业界面显示的提交者为“ly”。但hdfs提交作业的时候是使用的自己的身份还是切换到了ly,还不清楚,下面通过测试2进行验证。


测试2

  1. 设置hdfs的文件权限为ly不可访问

    hdfs@lyhadoop:~$ hadoop fs -chmod 750 /user/hdfs
    
  2. 查看hdfs的文件

    hdfs@lyhadoop:~$ hadoop fs -ls /user/hdfs/input
    
  3. 报错如下,

    ls: Permission denied: user=ly, access=EXECUTE, inode="/user/hdfs":hdfs:supergroup:drwxr-x---

以上测试说明:hdfs提交用户ly的hadoop命令时,切换到了该用户。


代理机制的作用

以oozie为例,系统安装Oozie时,会同时创建相应用户–oozie。启动Oozie服务时,需要切换到该用户启动。以下分两种情况讨论Oozie中提交作业的流程。


不设置oozie代理

考虑到Oozie是用户oozie启动的,所以如果不设置oozie代理用户,普通用户在Oozie中提交的作业都会以oozie的身份执行,如下所示

oozie-noproxy


设置oozie代理

设置oozie代理用户后,普通用户提交作业时,oozie会切换到该用户执行作业,如下所示,

oozie-proxy


hadoop中的默认设置

hadoop的core-site.xml中,针对oozie代理用户的默认设置如下,表示oozie会代理所有主机上的所有用户。

    <property>
      <name>hadoop.proxyuser.oozie.hosts</name>
      <value>*</value>
    </property>
    <property>
      <name>hadoop.proxyuser.oozie.groups</name>
      <value>*</value>
    </property>

总结

以用户ops使用代理用户oozie提交作业为例,当用户ops提交作业时,oozie会接管该作业,负责作业资源的申请及监管。

但其中若遇到读取HDFS文件时,要判断是否有使用该文件的权限,此时使用的用户是ops,作业运行完后,作业列表中显示该作业的用户也是ops。当然,除此之外,剩下的工作都由oozie负责,以体现“代理”的作用。

Hadoop-2.2.0中文文档—— Common - 超级用户模拟别的用户

简介 此文档描述了一个超级用户如何在安全的方式下以另一用户的名义提交作业或访问hdfs。 Use Case 下一部分描述的的代码示例对此用户用例是可用的。 一个用户名为'super...

hadoop集群Restful接口的使用

一、介绍        在通常情况下,我们使用HDFS的command命令去查看hdfs上的文件,或者使用默认的hadoop的web管理器查看,从hadoop0.2.23后,hadoop设计了一套Re...

haproxy代理设置及配置文件详解

Haproxy是一款免费、稳定、高效的轻量级负载均衡软件,现将其配置文件参数作如下说明: global #全局配置参数         log 127.0.0.1 local3 info ...

在Ubuntu下创建hadoop组和hadoop用户

一、在Ubuntu下创建hadoop组和hadoop用户     增加hadoop用户组,同时在该组里增加hadoop用户,后续在涉及到hadoop操作时,我们使用该用户。   1、创建hado...

Hadoop Yarn 安装

为了构建基于Yarn体系的Spark集群,先要安装Hadoop集群,为了以后查阅方便记录了我本次安装的具体步骤。...

通过NFSv3挂载HDFS到本地目录 -- 2安装配置hdfs-nfs网关

通过NFSv3挂载HDFS到本地目录  -- 2安装配置hdfs-nfs网关 4. 透过NFS访问hdfs 最重要的参考文档是这篇,来自官方 http://hadoop.apache...

使用NFSv3将HDFS挂载到本地

centos7,使用NFSv3将HDFS挂载到本地

HDFS NFS Gateway

HDFS NFS Gateway Overview NFS Gateway支持NFSv3,允许HDFS作为客户端本地文件系统的一部分挂载在本地文件系统。目前,NFS Gateway支持和启用了下面...

通过NFSv3挂载HDFS到本地目录 -- 2续hdfs-nfs网关解决错误

通过NFSv3挂载HDFS到本地目录  -- 2续hdfs-nfs网关解决错误 4.8 总结 - 主要命令列表 基本顺序如下: cd /home/hdfs/hadoop-2.7.1 ...

hadoop2.2安装配置日志(完全分布式)

在五一放假三天,用了整个假期的时间去
  • foart
  • foart
  • 2014年05月03日 21:03
  • 2757
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:hadoop的用户代理机制
举报原因:
原因补充:

(最多只允许输入30个字)