【Hadoop】hdfs使用setfacl 对hive的库赋权不生效问题

已于 2022-01-26 14:26:44 修改
阅读量3.7k 收藏 6
点赞数 1
分类专栏: Hadoop 文章标签: hdfs hadoop hive
于 2021-12-15 14:54:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrerlou/article/details/121946775
版权

文章目录

一、前言

使用sentry赋予普通用户的权限是能正常工作,但是HDFS文件的ACL权限未同步导致不能对相应表的数据目录进行操作。并且使用HDFS 的setfacl 命令也无法生效。

意味着使用beeline 连接hive 可以正常使用,但是直接使用HDFS的命令确会报权限不足的错误。

二、问题复现

1、测试hive的权限

beeline 连接 hiveserver2后,查看risk_admin_role 角色权限

show grant role risk_admin_role;

可以看到有全部数据库的权限

+-----------+--------+------------+---------+------------------+-----------------+------------+---------------+-------------------+----------+--+
| database  | table  | partition  | column  |  principal_name  | principal_type  | privilege  | grant_option  |    grant_time     | grantor  |
+-----------+--------+------------+---------+------------------+-----------------+------------+---------------+-------------------+----------+--+
| *         |        |            |         | risk_admin_role  | ROLE            | *          | false         | 1638965696096000  | --       |
+-----------+--------+------------+---------+------------------+-----------------+------------+---------------+-------------------+----------+--+

并且create,inesrt,drop 等操作执行下来都没有问题。

2、测试HDFS权限

测试命令

hdfs dfs -ls /user/hive/warehouse/test.db

报错信息

ls: Permission denied: user=risk_other, access=READ_EXECUTE, inode="/user/hive/warehouse/test.db":hive:hive:drwxrwx--x

3、查看HDFS文件的ACL

查看权限

hdfs dfs -getfacl /user/hive/warehouse/test.db

可以看到我们risk_other 这个角色是并没有这个文件的访问权限的,但是我们可以通过hive来操作这个库。
在这里插入图片描述

4、 手动添加ACL

因为我要从HDFS的文件中直接下载数据,所以当时想通过setfacl命令来快速给用户赋予读写可执行的权限。

hdfs dfs -setfacl -m user:risk_other:rwx /user/hive/warehouse/test.db

本来想着这个命令就已经可以解决问题了,但是测试命令

hdfs dfs -ls /user/hive/warehouse/test.db

依旧报错:

ls: Permission denied: user=risk_other, access=READ_EXECUTE, inode="/user/hive/warehouse/test.db":hive:hive:drwxrwx--x

再次查看acl

 hdfs dfs -getfacl /user/hive/warehouse/test.db
# file: /user/hive/warehouse/test.db
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:hive:rwx
group:op_test:rwx
mask::rwx
other::--x

依旧没有,也就是setfacl并没有生效。

解决方案

如果需要对非hive用户赋予server1的权限,则需要将server1下所有库的权限一一赋给需要赋予的用户组,这样才能确保HDFS文件的ACL权限也是同步的。如果是最大权限的用户则可以为该用户添加hive组。

对需要操作的库添加权限!

GRANT ALL ON database india_vision TO ROLE risk_other_role;

grant all on uri 'hdfs:///user/hive/warehouse/test.db' to role <role_name>;

查看权限

show grant role risk_other_role;

+---------------+--------+------------+---------+------------------+-----------------+------------+---------------+-------------------+----------+--+
|   database    | table  | partition  | column  |  principal_name  | principal_type  | privilege  | grant_option  |    grant_time     | grantor  |
+---------------+--------+------------+---------+------------------+-----------------+------------+---------------+-------------------+----------+--+
| *             |        |            |         | risk_other_role  | ROLE            | *          | false         | 1638965696096000  | --       |
| india_vision  |        |            |         | risk_other_role  | ROLE            | *          | false         | 1639479619687000  | --       |
+---------------+--------+------------+---------+------------------+-----------------+------------+---------------+-------------------+----------+--+

总结

在使用Sentry赋予server1的权限给非hive用户时是不能达到所有HDFS文件的ACL同步,如果是非最大权限的用户则需要加上数据库授权,如果是最大权限的用户可以使用hive/impala或着为用户添加hive组。

server1的权限一般是hive中管理员权限,如hive或者impala用户,就像这个文件/user/hive/warehouse的owner是hive一样。如果将此权限赋给其他用户时则需要加上数据库的权限,以保障数据的安全。

参考文章:

  • https://cloud.tencent.com/developer/article/1078182
kiraraLou
关注
专栏目录
大数据篇 | HadoopHDFSHIVE、HBase、Spark之间的联系与区别
weixin_43646592的博客
05-31 4935
大数据篇 | HadoopHDFSHIVE、HBase、Spark之间的联系与区别
HadoopHDFSHive、Hbase区别及联系
liu_rockefeller的博客
04-10 1345
HadoopHDFSHive和HBase是大数据生态系统中的关键组件,它们都是由Apache软件基金会管理的开源项目。下面将深入解析它们之间的区别和联系。
hdfs sentry acl权限同步失效
wflh323的专栏
05-10 2690
集群开启hdfs sentry acl权限同步,一直很稳定的运行,某天突然出现hive权限问题hive通过hs2 访问的不受影响,hive cli访问全部失败(不推荐使用hive cli 命令),其它任务访问hive表路径失败,用hdfs getfacl命令查看,权限同步目录acl全部失效,集群基本无法访问,查看sentry,hive正常, 日志都没有异常信息,查看namenode日志出...
setfacl:Operation not supported
凡人运维传
11-23 1628
问题简介: 给日志文件设置访问权限的时候遇到了一个问题: 执行的命令为: setfacl -d -R -m g:banklog:rwx /applog/ 看着应该是没啥问题,但是失败了: 问题排查: 这台机器的操作系统是Red Hat Enterprise Linux Server release 6.6 (Santiago),挂载的文件系统类型是ext4, 挂载类型是defaults,问题就出在这里,没有开启ACL权限控制。 解决方法: ...
HDFS常用命令
最新发布
weixin_46356409的博客
08-13 1254
显示 HDFS 文件系统的磁盘空间使用情况。:显示 HDFS 文件系统的磁盘空间使用情况。:统计目录中的文件数、目录数和空间使用情况。目录下的所有文件和子目录的磁盘使用情况。:测试文件、目录或符号链接的存在性和类型。:将 HDFS 文件复制到本地文件系统。:将 HDFS 文件移动到本地文件系统。目录中的文件数、目录数和空间使用情况。:删除 HDFS 上的文件或目录。:显示目录或文件的磁盘使用情况。:将本地文件上传到 HDFS。:显示 HDFS 文件的内容。:将本地文件移动到 HDFS
ClouderaManager安装hive后执行sql时写hdfs无权限
Qi.zheng
10-13 2043
ClouderaManager安装hive后用root用户启动执行sql报以下错误: Caused by: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException): Permission denied: user=root, access=WRITE, inode="/us
Hadoop之——setfacl 设置访问控制列表异常
冰河的专栏
07-07 2728
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/94992969 默认情况下,在命令行执行Hadoop的设置访问控制列表时,出现异常,具体异常信息如下: setfacl: The ACL operation has been rejected. Support for ACLs has been disabled by s...
setfacl使用
08-21 414
给单个用户设置文件目录权限 ---如给hadoop用户赋test目录权限 setfacl -R -m user:hadoop:rwx /test 取消test目录及所有递归子目录扩展权限 setfacl -R -b /test
hadoop基础,hdfshive,mapreduce,hbase
02-11
hadoop基础,hdfshive,mapreduce,hbase
从零开始大数据--HadoopHDFS、MapReduce、HBase、Hive
MOKE_SPACE
05-21 2984
文章目录概述HadoopHDFSHBase实现原理Regin服务器原理HBase安装与使用NoSQL数据MapReduceHive 概述 IT领域每隔十五年就会迎来一次重大变革: 1980:个人计算机 1995:互联网 2010:物联网、云计算和大数据 信息科技为大数据时代提供技术支撑: 存储设备容量不断增加 CPU处理能力大幅提升 网络带宽不断增加 大数据是由结构化和非结构化数据组成的 10%的结构化数据,存储在数据中 90%的非结构化数据,它们与人类信息密切相关 大数据技术的不同层面
全分布式集群Hadoop全套组件解压即可使用包含(Ubuntu-HDFS-HBASE-HIve-Sqoop-mysql....)
03-06
1.集群配置,包含三个结点,主节点控制所有的子节点 2.集群已经搭建好了,解压之后直接可以使用Finalshell和VMware连接 3.包含全套组件:hdfs,hbase,hive,...4.如果不知道如何使用,或者需要做Hadoop项目可以私信博主
Hadoop设置访问控制列表时报错:setfacl: The ACL operation has been rejected
sun_luming的博客
06-28 1163
Hadoop设置访问控制列表
hadoop操作hdfs时遭遇权限问题失败的解决办法
weixin_44761855的博客
11-20 842
hadoop操作hdfs时 遇到Permission denied: user=root, access=WRITE, inode="/":hdfs:supergroup:drwxr-xr-x 问题 也是常说的权限问题; 解决办法: 在hadoop的配置文件 etc/hadoop/hdfs-site.xml加入以下配置 dfs.permissions.enabled false 问题解决!!...
hive执行结果moveTask操作失败 setfacl: Permission denied
dingyufei的博客
02-25 3168
Apache Hive 2.1.0 ,在执行"INSERT OVERWRITE TABLE ...... select "或者 "insert overwrite directory /tmp/data/hive-test "操作,如果生成的结果文件是多个时,执行结果文件moveTask操作会失败。最新的Apache Hive 2.1.1版本同样有该问题;Apache Hive 1.2.1版本的h...
HDFS命令大全
zhuyuqi840123的专栏
11-13 426
HDFS命令大全
CDH-hdfsacls
DCHAO的博客
05-03 554
一、SRC https://docs.cloudera.com/documentation/enterprise/5-16-x/topics/cdh_sg_hdfs_ext_acls.html HDFS支持POSIXAccess Control Lists(ACL),也就是传统的POSIX权限控制。类似于Linux文件系统权限。但更强大,每个文件可以设置多个属主、属组,每个主和组又可以单独设置权限...
getfacl设置 为什么还权限不足呢
weixin_59489713的博客
11-24 379
getfacl权限不足
Hadoop—FS Shell
Oner.wv的专栏
02-01 1245
文件系统 (FS) shell 包括各种类似的命令直接与 Hadoop Distributed File System (HDFS)交互。hadoop也支持其它文件系统,比如 Local FS, HFTP FS, S3 FS等。 FS shell命令应使用 bin/hadoop fs 的形式。所有的的FS shell命令使用URI路径作为参数。URI格式是scheme://authority/p
HDFS文件权限及ACL访问控制
大怀特的博客
10-15 2903
1、权限相关配置 2、hdfs acl权限实体类别 3、hdfs acl权限生效的算法规则 4、hdfs acl shell命令 5、hdfs acl FileSystem 相关API dfs文件权限及ACL访问控制 1、权限相关配置 (1)、hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</v
Hadoop HDFS数据查看与Hive教程:从基础到查询优化
本文主要介绍的是Hive教程,重点在于如何在Hadoop的分布式文件系统HDFS中查看数据以及Hive的基本使用Hive是一个基于Hadoop的数据仓工具,它可以将结构化的数据文件映射为一张数据表,并提供SQL查询功能,方便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值