HDFS实现了一个类似于POSIX的目录和文件权限模型。每个文件和目录属于一个所有者或者一个组。文件和目录对于所有者、组和其他用户分别有对应的权限。对于文件,r表示读权限,w表示写权限。对于目录,r表示list权限,w表示创建或者删除文件或目录的权限,x表示访问目录子目录的权限。
相比于POSIX模型,没有设置uid和gid的功能,同样也没有可运行文件的概念。对于目录也没有设置uid和设置gid的功能。对于目录,可以设置一种严格的规定,防止除超级用户、目录所有者或文件所有者以外的任何用户删除或者移动目录内的文件,而无法对文件设置严格的规定。总体而言,文件或者目录的权限是通过mode方式设定的。一般是Unix习惯的表示和显示模式方式,包括八进制数字表示权限。当一个文件或者目录创建时,其所有者是客户端进程的用户标识,其组是父目录的组(BSD rule)。
每个访问HDFS的客户端进程都有包含两部分的标识:一部分是用户名,一部分是组列表。当HDFS必须检查一个文件或者目录foo的是否可被一个客户端进程访问时,
如果用户名是foo的所有者,那么所有者权限被测试;否则,如果foo的组属于客户端组列表之一,那么检查组权限;否则,检查foo的其他用户权限。
如果权限检查失败,那么客户端操作失败。
User Identity
Hadoop 0.22及以后,Hadoop支持两种模式用于表示用户的标识,通过hadoop.security.authentication property配置:
simple
这种模式下,客户端进程的标识由主机操作系统决定,在Unix-like系统中,等价于`whoami`命令执行后的结果。
kerberos
在kerberied操作中,客户端进程的标识由其Kerberos证书决定。
扫一扫
83
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
