HBase源码分析之Ranger权限验证

最新推荐文章于 2022-11-14 14:03:07 发布
最新推荐文章于 2022-11-14 14:03:07 发布
阅读量2.5k 收藏
点赞数
分类专栏: 大数据 文章标签: hbase 分布式 大数据 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MasaWong/article/details/77971824
版权


HBase源码分析之权限验证中讲过了自带的simple认证方式,Apache有个项目,也提供了权限验证,就是Ranger。Ranger的安装方式比较复杂,具体看: https://cwiki.apache.org/confluence/display/RANGER/Apache+Ranger+0.5.0+Installation

个人感觉Ranger还是一个粗糙的应用,和我预期的Apache顶级项目有差距,代码没注释,格式也很混乱。

Ranger的权限管理是通过RangerAuthorizationCoprocessor来实现的,实现了MasterObserver、RegionServerObserver、RegionObserver、BulkLoadObserver,各种回调。

和HBase的grant、revoke同步

配置中配置了grant、revoke的时候,是否相应的刷新ranger的标记位UpdateRangerPoliciesOnGrantRevoke

UpdateRangerPoliciesOnGrantRevoke = RangerConfiguration.getInstance().getBoolean(RangerHadoopConstants.HBASE_UPDATE_RANGER_POLICIES_ON_GRANT_REVOKE_PROP, RangerHadoopConstants.HBASE_UPDATE_RANGER_POLICIES_ON_GRANT_REVOKE_DEFAULT_VALUE);

RangerAuthorizationCoprocessor实现了CoprocessorService接口,将自己注册进去,监听grant、revoke。

@Override
public Service getService() {
    return AccessControlProtos.AccessControlService.newReflectiveService(this);
}

实现了这2个方法,在这2个方法中判断UpdateRangerPoliciesOnGrantRevoke如果为true,就更新下自己的配置。

/**
 * <code>rpc Grant(.GrantRequest) returns (.GrantResponse);</code>
 */
public abstract void grant(
    com.google.protobuf.RpcController controller,
    org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.GrantRequest request,
    com.google.protobuf.RpcCallback<org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.GrantResponse> done);

/**
 * <code>rpc Revoke(.RevokeRequest) returns (.RevokeResponse);</code>
 */
public abstract void revoke(
    com.google.protobuf.RpcController controller,
    org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.RevokeRequest request,
    com.google.protobuf.RpcCallback<org.apache.hadoop.hbase.protobuf.generated.AccessControlProtos.RevokeResponse> done);

Policy生效规则

各种操作之前调用evaluateAccess,代码简直裹脚布,总结起来就是判断了Namespace、table、column、qualifier的设置,将所有设置集中到AuthorizationSession中,然后调用AuthorizationSession的authorize,判断权限。

    ColumnFamilyAccessResult evaluateAccess(String operation, Action action, final RegionCoprocessorEnvironment env,
                                            final Map<byte[], ? extends Collection<?>> familyMap) throws AccessDeniedException {

        String access = _authUtils.getAccess(action);
        User user = getActiveUser();
        String userName = _userUtils.getUserAsString(user);
最低0.47元/天 解锁文章
MasaWong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ranger原理与代码实例讲解
禅与计算机程序设计艺术
06-04 378
Ranger原理与代码实例讲解 1.背景介绍 1.1 Ranger的起源与发展 Ranger最初由Facebook于2017年开源,旨在解决大规模推荐系统中的在线学习和特征选择问题。随后,Ranger在工业界和学术界得到了广泛应用和研
ranger安装hbase插件_Ranger
weixin_28985877的博客
01-24 581
Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以及全方位数据安全访问管理的安全框架。Ranger的官网:https://ranger.apache.org/Ranger的架构Ranger的工作原理 Ranager的核心是web应用程序,也成为RangerAdmin模块,此模块由管理策略,审计日志和报告等三部分组成。 管理员角色...
APACHE RANGER 调研----ranger 原理解析
01-26
(1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限
APACHERANGER调研----ranger原理解析
02-23
(1)管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限)(2)用户通过jdbcbeeline去请求HiveServe2(3)hive权限check,请求rangerapi获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据,plugin会30秒访问ranger服务更新策略(4)hiveserver2可以通过grant和revoke去请求ranger服务去更新策略(5)check和grant和revoke操作记录会放到ranger的audit审计日志里。主要步骤:(1)check是否有admin的权限和创建的用户数据检验(2)初始化XPortalUser和X
HBase namespace
dingweijson的博客
05-24 160
HBase系统默认定义了两个缺省的namespace hbase:系统内建表,包括namespace和meta表 default:用户建表时未指定namespace的表都创建在此 创建namespace   hbase&gt;create_namespace 'ai_ns'     删除namespace hbase&gt;drop_namespace 'ai_n...
Apache Ranger源码编译及使用
热门推荐
数据科学汇集
12-28 1万+
Ranger源码编译、使用手册 1 Ranger简介 Apache Ranger提供一个集中式安全管理框架,它可以对Hadoop生态的组件如Hive,Hbase进行细粒度的数据访问控制.通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问HDFS文件夹、HDFS文件、数据库、表、字段权限.这些策略可以为不同的用户和组来设置,同时权限可与hadoop无缝对接. 2 准备 2
Ranger功能验证
docsz的博客
11-14 912
Apache Ranger
APACHE RANGER 调研----5.ranger 原理解析
wangwenting2016的博客
12-24 5294
1.hive 授权流程    (1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限) --->(2) 用户通过 jdbc beeline 去请求HiveServe2     --->(3)hive 权限check, 请求ranger api 获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据, plugin 会30 秒访问ranger
HBase源码分析
07-15
HBase源码分析,详细的源码分析,专业的知识分析,绝对难得
HBase源码分析与开发实战
09-09
HBase源码分析与开发实战视频技术讲解高阶视频教程以及课件,内部讲解资料 内容非常详细 值得想要提高薪水的人去学习了解
hbase源码分析
12-07
hbase源码分析,了解hbase原理和api的简单实用。
[HBase]源码级强力分析hadoop的RPC机制
03-02
可以参考:http://baike.baidu.com/view/32726.htm)机制分析的博客一直耽搁了下来。昨天晚上胡老大和我抱怨说:最近乱的很。呵呵,老是往武汉跑,能不乱嘛。不过差不多腾讯面试的事就该告一段落了。五一期间,...
Hbase建表失败Insufficient permissions (user=root/admin@AEP.COM
Pichairen
03-31 1324
hbase(main):003:0> create 'test','info' ERROR: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions (user=root/admin@TEST.COM, scope=default, params=[namespace=default,table=default:test,family=info],action=CREATE) 原因:安装了K.
url过滤怎么解除_Shiro-实战(四)---过滤器机制
weixin_39870238的博客
11-26 2087
1 简介Shiro使用了与Servlet一样的Filter接口进行扩展 1.1 NameableFilter NameableFilter给Filter起个名字,如果没有设置默认就是FilterName 当我们组装拦截器链时会根据这个名字找到相应的拦截器实例1.2 OncePerRequestFilter 用于防止多次执行Filter,也就是说一次请求只会走一次拦截器链 enabled属性:是否开...
使用Apache Ranger提供授权 -- 02
TT-Learning
10-12 2530
文章目录基于资源的服务和策略配置资源的服务配置一个基于资源的服务:HBase配置一个基于资源的服务:HDFS配置一个基于资源的服务:Hive配置一个基于资源的服务:Kafka配置一个基于资源的服务:Knox配置一个基于资源的服务:Solr配置一个基于资源的服务:Storm配置一个基于资源的服务:YARN配置一个基于资源的服务:Atlas配置资源的策略配置一个基于资源的策略:HBase配置一个基于资...
ranger和presto源码编译
qq_40616823的博客
01-28 4678
Presto+Ranger源码编译问题总结 由于最近想要整合prestodb和ranger,故想要对presto内部进一步了解,方便对其添加ranger的插件。 为此,我对presto进行了源码编译,同时对ranger0.7.1(线上用的版本)进行了源码编译。presto是在win10上编译的,ranger在ubuntu16.04上进行编译的,下面讲解下主要的编译流程 一、Presto源码编译 一、环境 WIN10、jdk1.8、presto-0.233、maven-3.8.2 二、步骤 1.修改prest
ranger控制数据访问权限
onlyForCloud的专栏
04-05 1万+
ranger的特点就是,自己可以帮你去干你不能干的事情。 比如你这个用户没有hdfs某个目录下某个文件的读权限,但是你在ranger里面配了可以访问这个文件,你访问时ranger就帮你拿回来给你   一,hbase权限 (OK) 【前置】 Ranger上配置了HBase的所有表都只能由hbase用户和ambari-qa用户来访问   【实际】 1、我们使用hive用户执行h
Ranger Hive plugin 源代码分析
houzhizhen的专栏
09-23 2011
hiveserver2-site.xml <property> <name>hive.security.authorization.enabled</name> <value>true</value> </property> <property> <name>hive.security.authorization.manager</name> <value>org.apa
HBase分析之Get、Scan(一)
MasaWong的专栏
10-08 3940
GetGet操作调用的是RSRpcServices的get方法,调用过程首先找到包含数据的Region,然后从这个Region中获取需要的数据。public GetResponse get(final RpcController controller, final GetRequest request) throws ServiceException { ... try {
hbase启动权限不够
最新发布
08-05
回答: 从引用中可以看出,在Hbase的配置文件中,有一个名为hbase.superuser的属性,其值包括hbase、root和administrator。这些用户被认为是超级用户,拥有对Hbase的完全访问权限。如果你在启动Hbase时遇到权限不够的问题,可能是因为你使用的用户没有被添加到hbase.superuser属性中。 另外,从引用和中可以看出,Hbase还有一个权限验证功能,其中包括TokenProvider和AccessController。这些组件可以帮助确保只有经过授权的用户才能访问Hbase的数据和资源。如果你在启动Hbase时遇到权限问题,可能是因为没有正确配置和启用这些权限验证功能。 解决这个问题,你可以检查你使用的用户是否被添加到hbase.superuser属性中,如果没有,需要将其添加进去。此外,你还可以确保TokenProvider和AccessController这两个组件被正确配置和启用。这样,你就可以具备足够的权限来启动Hbase了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值