cloudera manager下的hive权限配置

最新推荐文章于 2024-05-03 15:43:02 发布
最新推荐文章于 2024-05-03 15:43:02 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 批量:Hive/Spark/Hbas 文章标签: 大数据 hive 权限

公司运营、BI以及财务不同部门不同人员需要hive数据查询服务,所以需要分配不同的权限给相关人员

权限配置主要涉及两项:

- 认证(authentication):验证用户所用的身份是否是对的
- 授权(authorization):验证用户所用身份操作是否有权限

cloudera集成的hive认证支持常用的LDAP和kerberos,授权使用的是他自家的sentry,sentry目前还处在孵化中。为了推广他自家的产品,屏蔽了hive的授权管理

针对我的需求,用户统一在hue界面操作hive,分配不同表权限给不同的用户,权限的授予只需要一个管理员账户;授权使用hive原生的

配置

认证配置

hive默认所有用户都可以做权限的更改,配置为只有管理员(如admin)才能修改权限
使用钩子做身份拦截,如果用户不为admin且操作权限管理操作,拒绝,代码示例如下:

<code class="language-java hljs  has-numbering"><span class="hljs-keyword">import</span> org.apache.commons.logging.Log;
<span class="hljs-keyword">import</span> org.apache.commons.logging.LogFactory;
<span class="hljs-keyword">import</span> org.apache.hadoop.hive.ql.parse.ASTNode;
<span class="hljs-keyword">import</span> org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
<span class="hljs-keyword">import</span> org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
<span class="hljs-keyword">import</span> org.apache.hadoop.hive.ql.parse.SemanticException;
<span class="hljs-keyword">import</span> org.apache.hadoop.hive.ql.session.SessionState;

<span class="hljs-keyword">public</span> <span class="hljs-class"><span class="hljs-keyword">class</span> <span class="hljs-title">HiveAdmin</span> <span class="hljs-keyword">extends</span> <span class="hljs-title">AbstractSemanticAnalyzerHook</span> {</span>
    <span class="hljs-keyword">private</span> <span class="hljs-keyword">static</span> String admin = <span class="hljs-string">"admin"</span>;
    <span class="hljs-keyword">private</span> <span class="hljs-keyword">static</span> <span class="hljs-keyword">final</span> Log LOG = LogFactory.getLog(HiveAdmin.class);

    <span class="hljs-annotation">@Override</span>
    <span class="hljs-keyword">public</span> ASTNode <span class="hljs-title">preAnalyze</span>(HiveSemanticAnalyzerHookContext context,
                              ASTNode ast) <span class="hljs-keyword">throws</span> SemanticException {
        String userName = <span class="hljs-keyword">null</span>;
        String Authenticator=<span class="hljs-string">"null"</span>;

        <span class="hljs-keyword">switch</span> (ast.getToken().getType()) {
            <span class="hljs-keyword">case</span> <span class="hljs-number">692</span>: <span class="hljs-comment">//grant</span>
            <span class="hljs-keyword">case</span> <span class="hljs-number">646</span>:<span class="hljs-comment">// CREATE ROLE amengzi;</span>
            <span class="hljs-keyword">case</span> <span class="hljs-number">675</span>:<span class="hljs-comment">// DROP ROLE amengzi</span>
            <span class="hljs-keyword">case</span> <span class="hljs-number">694</span>: <span class="hljs-comment">//GRANT ROLE amengzi to user amengzi;</span>
            <span class="hljs-keyword">case</span> <span class="hljs-number">793</span>:<span class="hljs-comment">// REVOKE ROLE amengzi FROM user amengzi;</span>

<span class="hljs-comment">//            case 647://create table test11(id string)</span>
<span class="hljs-comment">//            case 676://drop table test;</span>
<span class="hljs-comment">//            case 783://select * from test;</span>
<span class="hljs-comment">//            case 817://show grant</span>
<span class="hljs-comment">//            case 671: //drop database;</span>
                <span class="hljs-keyword">if</span> (SessionState.get() != <span class="hljs-keyword">null</span>
                            && SessionState.get().getAuthenticator() != <span class="hljs-keyword">null</span>) {
                    Authenticator = SessionState.get().getAuthenticator().toString();
                    userName = SessionState.get().getAuthenticator().getUserName();
                }
                <span class="hljs-keyword">if</span> (!admin.equalsIgnoreCase(userName)) {
                    System.out.println(<span class="hljs-string">"===================can't use ADMIN options, except"</span>);
                    <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> SemanticException(userName
                                                        + <span class="hljs-string">" can't use ADMIN options, except "</span> + admin + <span class="hljs-string">"."</span>);
                }
                <span class="hljs-keyword">break</span>;
            <span class="hljs-keyword">default</span>:
                <span class="hljs-keyword">break</span>;
        }

        <span class="hljs-keyword">int</span> tokeType=ast.getToken().getType();
        LOG.error(<span class="hljs-string">"tokeType:"</span>+tokeType+<span class="hljs-string">"=======user "</span> + SessionState.get().getAuthenticator().getUserName()+<span class="hljs-string">" Authenticator "</span>+SessionState.get().getAuthenticator().toString());
        System.out.println(<span class="hljs-string">"tokeType:"</span>+tokeType+<span class="hljs-string">"===================user: "</span> + SessionState.get().getAuthenticator().getUserName()+<span class="hljs-string">" Authenticator "</span>+SessionState.get().getAuthenticator().toString());
        <span class="hljs-keyword">return</span> ast;
<span class="hljs-comment">//        return super.preAnalyze(context, ast);</span>
    }

<span class="hljs-comment">//    @Override</span>
<span class="hljs-comment">//    public void postAnalyze(HiveSemanticAnalyzerHookContext context,</span>
<span class="hljs-comment">//                            List<Task<? extends Serializable>> rootTasks)</span>
<span class="hljs-comment">//            throws SemanticException {</span>
<span class="hljs-comment">//        console.printInfo("!! SimpleSemanticPreAnalyzerHook postAnalyze called !!");</span>
<span class="hljs-comment">//        super.postAnalyze(context, rootTasks);</span>
<span class="hljs-comment">//    }</span>
}</code><ul style="" class="pre-numbering"><li>1</li><li>2</li><li>3</li><li>4</li><li>5</li><li>6</li><li>7</li><li>8</li><li>9</li><li>10</li><li>11</li><li>12</li><li>13</li><li>14</li><li>15</li><li>16</li><li>17</li><li>18</li><li>19</li><li>20</li><li>21</li><li>22</li><li>23</li><li>24</li><li>25</li><li>26</li><li>27</li><li>28</li><li>29</li><li>30</li><li>31</li><li>32</li><li>33</li><li>34</li><li>35</li><li>36</li><li>37</li><li>38</li><li>39</li><li>40</li><li>41</li><li>42</li><li>43</li><li>44</li><li>45</li><li>46</li><li>47</li><li>48</li><li>49</li><li>50</li><li>51</li><li>52</li><li>53</li><li>54</li><li>55</li><li>56</li><li>57</li><li>58</li><li>59</li><li>60</li></ul><ul style="" class="pre-numbering"><li>1</li><li>2</li><li>3</li><li>4</li><li>5</li><li>6</li><li>7</li><li>8</li><li>9</li><li>10</li><li>11</li><li>12</li><li>13</li><li>14</li><li>15</li><li>16</li><li>17</li><li>18</li><li>19</li><li>20</li><li>21</li><li>22</li><li>23</li><li>24</li><li>25</li><li>26</li><li>27</li><li>28</li><li>29</li><li>30</li><li>31</li><li>32</li><li>33</li><li>34</li><li>35</li><li>36</li><li>37</li><li>38</li><li>39</li><li>40</li><li>41</li><li>42</li><li>43</li><li>44</li><li>45</li><li>46</li><li>47</li><li>48</li><li>49</li><li>50</li><li>51</li><li>52</li><li>53</li><li>54</li><li>55</li><li>56</li><li>57</li><li>58</li><li>59</li><li>60</li></ul>

在使用客户端hive时,会显示向控制台输出的语句,便于调试
在hue上操作时,logger的输出会在hiveserver2日志中输出

授权配置

cloudera默认用org.apache.hadoop.hive.ql.parse.authorization.RestrictedHiveAuthorizationTaskFactoryImpl替换hive的org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl做权限屏蔽,需要通过配置文件使用原生hive类

从CM界面放入以下配置于hive-site.xml 的 Hive 客户端高级配置代码段(安全阀)和hive-site.xml 的 HiveServer2 高级配置代码段(安全阀)

<code class="hljs xml has-numbering"><span class="hljs-tag"><<span class="hljs-title">property</span>></span>
<span class="hljs-tag"><<span class="hljs-title">name</span>></span>hive.security.authorization.enabled<span class="hljs-tag"></<span class="hljs-title">name</span>></span>
<span class="hljs-tag"><<span class="hljs-title">value</span>></span>true<span class="hljs-tag"></<span class="hljs-title">value</span>></span>
<span class="hljs-tag"><<span class="hljs-title">description</span>></span>enable or disable the hive client authorization<span class="hljs-tag"></<span class="hljs-title">description</span>></span>
<span class="hljs-tag"></<span class="hljs-title">property</span>></span>

<span class="hljs-tag"><<span class="hljs-title">property</span>></span>
<span class="hljs-tag"><<span class="hljs-title">name</span>></span>hive.security.authorization.createtable.owner.grants<span class="hljs-tag"></<span class="hljs-title">name</span>></span>
<span class="hljs-tag"><<span class="hljs-title">value</span>></span>ALL<span class="hljs-tag"></<span class="hljs-title">value</span>></span>
<span class="hljs-tag"><<span class="hljs-title">description</span>></span>the privileges automatically granted to the owner whenever a table gets created. An example like"select,drop" will grant select and drop privilege to the owner of the table<span class="hljs-tag"></<span class="hljs-title">description</span>></span>
<span class="hljs-tag"></<span class="hljs-title">property</span>></span>

<span class="hljs-tag"><<span class="hljs-title">property</span>></span>
<span class="hljs-tag"><<span class="hljs-title">name</span>></span>hive.security.authorization.task.factory<span class="hljs-tag"></<span class="hljs-title">name</span>></span>
<span class="hljs-tag"><<span class="hljs-title">value</span>></span>org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl<span class="hljs-tag"></<span class="hljs-title">value</span>></span>
<span class="hljs-tag"></<span class="hljs-title">property</span>></span>

<span class="hljs-tag"><<span class="hljs-title">property</span>></span>
<span class="hljs-tag"><<span class="hljs-title">name</span>></span>hive.semantic.analyzer.hook<span class="hljs-tag"></<span class="hljs-title">name</span>></span>
<span class="hljs-tag"><<span class="hljs-title">value</span>></span>HiveAdmin<span class="hljs-tag"></<span class="hljs-title">value</span>></span>
<span class="hljs-tag"></<span class="hljs-title">property</span>></span></code><ul style="" class="pre-numbering"><li>1</li><li>2</li><li>3</li><li>4</li><li>5</li><li>6</li><li>7</li><li>8</li><li>9</li><li>10</li><li>11</li><li>12</li><li>13</li><li>14</li><li>15</li><li>16</li><li>17</li><li>18</li><li>19</li><li>20</li><li>21</li></ul><ul style="" class="pre-numbering"><li>1</li><li>2</li><li>3</li><li>4</li><li>5</li><li>6</li><li>7</li><li>8</li><li>9</li><li>10</li><li>11</li><li>12</li><li>13</li><li>14</li><li>15</li><li>16</li><li>17</li><li>18</li><li>19</li><li>20</li><li>21</li></ul>

这里写图片描述

注意:后续hdfs权限需要做相应修改
在namenode活动节点创建需要的用户账户
如果使用hue,linux账户和hue的账户可以同步hue useradmin_sync_with_unix
启用了hive权限之后发现hue和hive客户端都没有创建数据库的权限,我需要客户端能过创建数据酷,所以“hive-site.xml 的 Hive 客户端高级配置代码段(安全阀)“不作配置,这样HiveAdmin的jar包只需放到hiveserver2所在主机/opt/cloudera/parcels/CDH-5.4.4-1.cdh5.4.4.p0.4/lib/hive/lib/下就可以,如果hive-site客户端也配置了权限,则jar需要放到hive lib下
如果想后端也加上权限,又想可以创建数据库,则方案可以配置为单独一台机子不做权限配置,用来做数据库创建
hue和hive有一个坑导致不能相同授权重复,所以授权操作需要通过hive客户端来操作

大数据部
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CDH大数据平台 24Cloudera Manager Console之hbase、hive整合配置(markdown新版)
80后大叔爱学习
11-05 2165
CDH大数据平台 24Cloudera Manager Console之hbase、hive整合配置(markdown新版)
cloudera manager中添加hive数据库使用mysql的配置步骤
06-20
cloudera manager中添加hive数据库使用mysql的配置的详细步骤
异常message:There is no database named cloudera_manager_metastore_canary_test_db_hive_hivemetastore...
weixin_33932129的博客
09-17 531
NoSuchObjectException(message:There is no database named cloudera_manager_metastore_canary_test_db_hive_hivemetastore_df61080e04cd7eb36c4336f71b5a8bc4) at org.apache.hadoop.hive.meta...
Cloudera Hive传统权限管理设置
youchuikai的博客
06-09 970
Cloudera Hive 传统权限管理设置
grafana-plugin-clouderamanager
12-28
grafana的cloudera manager插件,由于开源的grafana cdh插件在集成时会出现dateMath.parse is not a function问题,修复后可直接使用。本资源包是修复问题后的,可直接放到grafana plugins文件夹下,即可使用
Cloudera Manager大数据平台视频教程
06-23
Cloudera Manager大数据平台视频教程 特点如下: 统一化的可视化界面 自动部署和配置大数据各类组件安装、调优极其便捷 零停机维护(免费版本不具有弹性升级) 多用户管理(权限控制,支持ldap) 稳定性极好(部分...
ClouderaManager和CDH4终极安装
02-26
操作系统:CentOS6.5ClouderaManager版本:4.8.1CDH版本:4.5.0各机器准备工作:Cloudera-manager压缩包地址:http://archive.cloudera.com/cm4/cm/4/cloudera-manager-el6-cm4.8.1_x86_64.tar.gzCDH下载地址:...
Cloudera Manager 6.3.1 (文件1)
06-26
cloudera-manager-agent-6.3.1-1466458.el7.x86_64.rpm, cloudera-manager-daemons-6.3.1-1466458.el7.x86_64.rpm, cloudera-manager-server-6.3.1-1466458.el7.x86_64.rpm, cloudera-manager-server-db-2-6.3.1-...
使用Cloudera Manager搭建Hive服务
weixin_33939843的博客
05-22 478
             使用Cloudera Manager搭建Hive服务                                       作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.安装Hive环境 1>.进入CM服务安装向导 2>.选择需要安装的hive服务 3>.选择hive的依赖环境,我们...
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 892
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
10分钟了解数据质量管理-奥斯汀格里芬 Apache Griffin
搞数据
04-28 1082
Griffin是一个开源的大数据数据质量解决方案,由eBay开源,它支持批处理和流模式两种数据质量检测方式,是一个基于Hadoop和Spark建立的数据质量服务平台 (DQSP)。它提供了一个全面的框架来处理不同的任务,例如定义数据质量模型、执行数据质量测量、自动化数据分析和验证,以及跨多个数据系统的统一数据质量可视化。Griffin于2016年12月进入Apache孵化器,Apache软件基金会2018年12月12日正式宣布Apache Griffin毕业成为Apache顶级项目。
Debezium日常分享系列之:Debezium 2.7.0.Alpha1发布
zhengzaifeidelushang的博客
04-29 736
虽然 Oracle 建议用户避免使用基于 RAW 的列,但出于向后兼容性的原因,这些列仍广泛用于标准 Oracle 表中。但在某些业务用例中,继续使用 RAW 列而不是其他数据类型是有意义的。Debezium 2.7 引入了一个专门针对 Oracle 的新自定义转换器,称为 RawToStringConverter。此自定义转换器旨在允许使用 STRING 架构类型快速将 RAW 列的字节数组内容转换为基于字符串的字段。
ruoyi漏洞总结
最新发布
qq_59468567的博客
05-03 198
baseurl 就有了,有的是全的 url,大多数是只给个 baseurl:prod-api,这类。js 下面有个 app.xxxxxx(一些个字母数字).js,直接里面搜。如果页面访问显示不正常,可添加默认访问路径尝试是否显示正常。若依有个特点,密码可能在前台直接显示,点击并能够成功登录。监控中存在大量接口路径,可通过未授权获取更多敏感信息在。图标和登录页面及验证码处的样式识别出若依。认证失败,无法访问系统资源。进行替换实现登录系统。数据库存在未授权访问。
【翻译】Elasticsearch-索引模块
qq_49444793的博客
04-30 895
索引块限制对指定的索引的可用的操作类型(就是指对该索引能进行什么操作)。这些块有不同的风格,可以阻止写、读或元数据操作。块可以通过动态索引设置来设置/移除,也可以通过专用API添加,这也可以确保写入块一旦成功返回用户,所有索引分片都能正确地计算该块,例如,在添加写块后,所有对索引进行中的写入会完成。
《崇明新闻》报道智慧岛大数据云计算中心
YUNDUANNET的博客
04-29 656
4月22日,《崇明新闻》报道了云端股份目前在建的上海智慧岛大数据云计算中心,采访了新基建项目CEO张海东,向其了解目前云计算中心的项目概况以及建设进度。
HIVE基本数据类型
2301_77836489的博客
05-03 318
HIVE基本数据类型
云计算知识点-02
lv785的博客
04-27 1493
DataNode是HDFS文件系统的工作节点,DataNode会按照客户端或者是NameNode的调度来存储和检索数据,并定期向NameNode发送它所存储的数据块列表,DataNode是文件系统中真正存储数据的地方。通过这种虚拟化可以减少服务器的数量,提高服务器的使用效率,可以在一定程度上摆脱物理上的空间限制,实现随时随地随需的自由掌控。Glance(镜像服务组件),其作用是:提供虚拟机镜像的存储,查询和检索功能,为nova进行服务,依赖于存储服务(存储镜像本身)和数据库服务(存储镜像相关的数据)。
HarmonyOS Next从入门到精通实战精品课
04-27 1230
Canvas完成矩形的绘制;华为闹钟的订阅和取消;华为闹钟的基本绘制;华为闹钟的时针-分针-秒针的绘制;华为闹钟的任务列表的样式;关于State的状态更新的须知;关于样式的简单介绍;关于vp和fp的介绍;知乎数据的真实的渲染;实现底部组件的封装;华为闹钟的添加闹钟;完成知乎小案例的UI布局;ForEach的商品列表案例;ForEach的商品列表的Grid布局;ForEach的key的一个简单介绍;Watch的刷题案例-做题的思路;State嵌套更新的实现方式;你画我猜的签字板实现;
Cloudera Manager 怎么动态修改配置
06-09
下面是在 Cloudera Manager 中动态修改配置参数的步骤: 1. 登录到 Cloudera Manager 的 Web 界面,进入 Hadoop 集群的主界面。 2. 选择要修改的服务,例如 HDFS,然后选择“配置”选项卡。 3. 在配置页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值