cdh集成sentry

最新推荐文章于 2024-03-14 08:00:00 发布
最新推荐文章于 2024-03-14 08:00:00 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: # hadoop生态圈 文章标签: cdh sentry
本文为博主原创文章,转载注明出处。可以搜索微信公众号[老朱的读书随想]联系我
本文链接:https://blog.csdn.net/daguanjia11/article/details/89947010
版权

安装sentry服务

在cloudera manager web页面上选中集群下的action按钮,然后点击add service,在列表中选择sentry服务,并按照向导操作即可。sentry的运行需要使用mysql,在安装cdh的那篇文章中的步骤已经包含了创建sentry服务的步骤,所以,直接就有一个sentry数据库,直接使用即可,用户名和密码是sentry/sentry_password。

关于安装sentry服务,请参考官方文档 https://www.cloudera.com/documentation/enterprise/latest/topics/sg_sentry_service_install.html

sentry高可用

设置第二个sentry server,可以提高sentry的高可用性。在cloudera manager web页面上的集群列表中点击sentry,进入sentry服务的页面,然后打开instance标签页,点击Add Role Instances,根据弹出的向导选择第二个sentry server即可。

关于sentry高可用,请参考官方文档

https://www.cloudera.com/documentation/enterprise/latest/topics/sg_sentry_ha.html

sentry的权限模型

  • object:object指不同的数据库对象,如server,database,table,column等
  • role:role具有很多操作规则,每个操作规则是指对特定object的privilege
  • privilege:privilege被赋给某个role,允许该role具有操作某个object的特定权限,privilege包括:READ, WRITE, ALL。
  • user:从authentication系统产生。我们是从kerberos服务中产生的
  • group:是user的集合,从linux系统的用户的group映射而来。所有的role都只能被赋给group,而不能直接赋给user

在hive中使用sentry授权

sentry常与hive、impala、hue等组件一起使用,下面是与hive一起使用时使用Hive SQL的语法来管理权限的常用操作。

角色操作

  • 创建角色:CREATE ROLE [role_name];
  • 删除角色:DROP ROLE [role_name];
  • 查看所有角色:SHOW ROLES;
  • 查看当前用户所具有的角色:SHOW CURRENT ROLES;

角色与权限

向角色授权

GRANT    
    <PRIVILEGE> [, <PRIVILEGE> ]    
    ON <OBJECT> <object_name>    
    TO ROLE <roleName> [,ROLE <roleName>]

撤销角色的权限

REVOKE    
    <PRIVILEGE> [, <PRIVILEGE> ]    
    ON <OBJECT> <object_name>    
    FROM ROLE <roleName> [,ROLE <roleName>]

查看角色具有的权限

SHOW GRANT ROLE <roleName>;

查看角色对某个对象的权限

SHOW GRANT ROLE <roleName> on <OBJECT> <objectName>;

将角色关联到group以及撤销group的角色

将角色关联到group

GRANT ROLE role_name [, role_name]
    TO GROUP <groupName> [,GROUP <groupName>]

撤销group的角色

REVOKE ROLE role_name [, role_name]    
    FROM GROUP <groupName> [,GROUP <groupName>]

查看group具有哪些角色

SHOW ROLE GRANT GROUP <groupName>;

关于在hive中使用sentry授权的更多问题,可以参考官方文档
https://www.cloudera.com/documentation/enterprise/latest/topics/sg_hive_sql.html

示例演示

下面的示例将帮助你理解上面的命令。假设有两个用户组分别是manager和analyst,我希望db1manager组内的用户对db1数据库中的所有表具有所有权限,而db1analyst组内的所有用户对db1数据库的table1具有查询权限,下面将演示这个过程

首先使用kinit命令激活hive用户的kerveros tgt,然后使用beeline命令进入beeline的shell中,并使用下面的命令连接上对用的hive

beeline> !connect jdbc:hive2://cdhtest-0:10000/default;principal=hive/cdhtest-0@ENN.CN

根据需求,我们创建两个角色,分别是manager角色和analyst角色

create role manager;
create role analyst;

查看角色信息

show roles;
+----------+--+
|   role   |
+----------+--+
| analyst  |
| manager  |
+----------+--+

两个角色已经创建好了。接下来分别向两个角色授予不同的权限,先向manager角色授予db1数据库的所有权限

grant all on database db1 to role manager;
grant select on table table1 to role analyst;

查看manager的权限

show grant role manager;
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+-------------------+----------+--+
| database  | table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  |    grant_time     | grantor  |
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+-------------------+----------+--+
| db1       |        |            |         | manager         | ROLE            | *          | false         | 1521797782036000  | --       |
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+-------------------+----------+--+

可以看出manager角色对db1具有*权限。下面查看analyst角色的权限

show grant role analyst;
+-----------+---------+------------+---------+-----------------+-----------------+------------+---------------+-------------------+----------+--+
| database  |  table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  |    grant_time     | grantor  |
+-----------+---------+------------+---------+-----------------+-----------------+------------+---------------+-------------------+----------+--+
| default   |         |            |         | analyst         | ROLE            | select     | false         | 1521773777266000  | --       |
| db1       | table1  |            |         | analyst         | ROLE            | select     | false         | 1521797965506000  | --       |
+-----------+---------+------------+---------+-----------------+-----------------+------------+---------------+-------------------+----------+--+

可以看出analyst角色对db1和table1都具有select权限。

权限已经分配给角色了,接下来将角色和用户组做一下关联

grant role manager to group db1manager;
grant role analyst to group db1analyst;

查看db1manager组所具有的角色

show role grant group db1manager;
+----------+---------------+-------------+----------+--+
|   role   | grant_option  | grant_time  | grantor  |
+----------+---------------+-------------+----------+--+
| manager  | false         | NULL        | --       |
+----------+---------------+-------------+----------+--+

查看db1analyst组所具有的角色

show role grant group db1analyst;
+----------+---------------+-------------+----------+--+
|   role   | grant_option  | grant_time  | grantor  |
+----------+---------------+-------------+----------+--+
| analyst  | false         | NULL        | --       |
+----------+---------------+-------------+----------+--+

授权完毕。

此时cdh集群上有db1manager和db1analyst两个用户组。此时正好有两个用户和两个用户组,名字分别都是db1manager和db1analyst。

$ groups db1manager
db1manager : db1manager

$ groups db1analyst
db1analyst : db1analyst

再打开一个terminal并使用db1manager用户登录,先拿到kerberos的tgt

kinit db1manager
Password for db1manager@ENN.CN:

此处输入db1manager用户的kerberos密码。
然后使用beeline命令进入beeline的shell,并使用下面的命令连接到hive

beeline> !connect jdbc:hive2://cdhtest-0:10000/default;principal=hive/cdhtest-0@ENN.CN

需要注意的是,此处的principal参数仍然是hive/cdhtest-0@ENN.CN,而不是db1manager@ENN.CN。

然后查看自己的角色

show current roles;
+----------+--+
|   role   |
+----------+--+
| manager  |
+----------+--+

可以看出db1manager用户具有manager角色。接下来执行两个简单的sql命令来测试一下权限

insert into table1 values (1,1);
insert into table1 values (2,2);

select * from table1;
+--------------+--------------+--+
| table1.col1  | table1.col2  |
+--------------+--------------+--+
| 1            | 1            |
| 2            | 2            |
+--------------+--------------+--+

以同样的方法再切换到db1analyst用户,并查看角色

show current roles;
+----------+--+
|   role   |
+----------+--+
| analyst  |
+----------+--+

执行一个select

select * from table1;
+--------------+--------------+--+
| table1.col1  | table1.col2  |
+--------------+--------------+--+
| 1            | 1            |
| 2            | 2            |
+--------------+--------------+--+

查询成功。再执行一个insert

insert into table1 values (3,3);
Error: Error while compiling statement: FAILED: SemanticException No valid privileges
 User db1analyst does not have privileges for QUERY
 The required privileges: Server=server1->Db=db1->Table=table1->action=insert; (state=42000,code=40000)

报错了,权限不足,因为analyst角色没有WRITE权限。

老朱.
关注
专栏目录
【hadoop】CDH Sentry介绍
九师兄
10-25 7588
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。
CDH 集成Sentry权限控制
Johnzhc的博客
08-02 3168
                                      CDH 集成Sentry权限控制 1.hue集成sentry服务 首先登陆如下界面我的是http://master:7180/cmf/home 然后点击hue组件进入下面的界面,点击配置搜索SentrySentry服务的Sentry勾选上 2. hive和impala启用Sentry和上面的步骤一样这里就...
0028-如何在CDH未启用认证的情况下安装及使用Sentry
Hadoop_SC的博客
11-20 794
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.文档编写目的 CDH平台中的安全,认证(Kerberos/LDAP)是第一步,授权(Sentry)是第二步。如果要启用授权,必须先启用认证。但在CDH平台中给出了一种测试模式,即不启用认证而只启用Sentry授权。但强烈不建议在生产系统中这样使用,因为如果没有用户认证,授权没有任何意义形同虚设,用户可以随意使用任何超级用户登...
CDH安装SENTRY
weixin_34112900的博客
12-13 736
2019独角兽企业重金招聘Python工程师标准>>> ...
Apache Sentry架构介绍
weixin_33709364的博客
04-08 1019
介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 特性...
cdh集群sentry 启用HA
wflh323的专栏
08-09 817
cdh集群sentry主用用来进行hive数据权限认证,sentry服务失败后会影响访问hive库的任务。sentry ha的功能是在cdh5.13之后才有的。 开启sentry HA 1. 进入sentry 操作,选择启用HA 2. 选择主机安装另一个sentry实例 3.根据向导,执行完成 ...
CDH集群离线搭建(适用内网)——sentry集成配置⑩
最新发布
M_red的博客
03-14 341
在hive配置中搜索:Hive Metastore Server Default Group,然后[勾选] Hive Metastore Server Default Group。点击hdfs组件,点击配置,在搜索框中搜索:“启用访问控制列表"或者"dfs.namenode.acls.enabled”,然后[勾选] HDFS (Service-Wide);点击hue服务,点击配置,在搜索栏中搜索:Sentry,然后Sentry Service [勾选] Sentry。保存并重启HDFS服务。
CDH6.2 集成Sentry,Hive,Hue,Impala权限控制
简单的心的博客
07-02 6228
公司最近Hadoop集群和其他服务机器复用严重,提供了新机器,想将Hadoop集群迁出。 Hadoop使用的CDH集成环境,从CDH5.3跨越到CDH6.2 之前在CDH5.3上将hive从0.13升级到1.2.1。然后做了hive权限控制 详情见https://blog.csdn.net/u012422198/article/details/94434445 想在CDH6.2中同样来一套...
CDH5.15启用kerberos+Sentry手册_v1.0.docx
04-10
在成功启用Kerberos之后,我们接着讨论Sentry集成Sentry是一个权限管理系统,用于提供细粒度的数据访问控制。在Kerberos认证的基础上启用Sentry,可以确保用户只能访问他们被授权的数据和服务。 1. 安装和配置...
CDH安全之Sentry权限管理
Java_Road_Far的博客
05-21 3968
文章目录一、Sentry概述1.1 Sentry是什么1.2 Sentry中的角色二、Sentry安装部署三、Sentry与Hive/Impala集成3.1 修改配置参数3.2 配置Hive使用Sentry3.3 配置Impala使用Sentry3.4 配置HDFS权限与Sentry同步四、Sentry 授权4.1 基于 Hue4.2 基于 命令行 一、Sentry概述 cdh 版本的 hadoop 在对数据安全上的处理通常采用 Kerberos+Sentry 的结构。 kerberos 主要负责平台用户
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
CDH 6 中安装Sentry服务
qq_39841823的博客
02-24 774
趁我未失忆之前,记录过去曾经的自己 文章目录前言一、Sentry是什么?1.Sentry介绍2.最佳性能二、添加Sentry服务与各组件配置1.Sentry服务安装 前言 在当要对某些用户在hive上操作可以对某些表或是数据的权限做控管时,就需要安装Sentry。通常会一起搭配Kerberos。cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。kerberos主要负责平台用户的用户认证,sentry则负责数据的权限管理。 一、Sentry是什么? 1.Sentry
企业大数据CDH集群安全----sentry
m0_54082598的博客
04-24 2125
Sentry安装 1、cm中选择添加服务,选择sentry 2、选择要安装sentry的主机 3、配置数据库 HDFS配置 开启启动访问控制列表,选中打勾 开启检查HDFS权限服务 开启sentry服务 hive配置 修改hive配置参数,搜索sentry-site 添加参数 搜索sentrysentry服务选择sentry 搜索Hive Impersona...
Cloudera Manager CDH Sentry 授权
阿正的博客
04-03 423
参考: https://blog.csdn.net/u011026329/article/details/79167751 https://blog.csdn.net/DF_XIAO/article/details/52838648CDH5.7配置kerberos身份认证+sentry权限管理
CDH配置sentry并测试权限
阿正的博客
04-05 895
CDH未启用认证的情况下安装及使用Sentryhttps://www.jianshu.com/p/b0678b02dd0b https://blog.csdn.net/u014728303/article/details/53911918基于LDAP和Sentry的大数据认证和鉴权解决方案--Part Two:Sentry集成 CDH基于Kerberos身份认证和基于Sentry的权限控...
CDH-Kerberos环境下Kafka集成Sentry进行权限管理
xiaoyutongxue6的博客
03-06 618
http://www.pianshen.com/article/633756736/
gitlab 将管理员权限移交给ldap账户_Zeppelin集成Ranger实现用户权限管控
weixin_39781186的博客
11-24 757
前言在Hadoop生态中,典型的鉴权方案:1、LDAP+Kerberos+Sentry主要应用在CDH平台,支持 Hive、Impala、HDFS 等主流组件,不支持 Hbase、Yarn、Kafka、Storm等常见组件。2、LDAP+Kerberos+Ranger主要应用在Apache Hadoop或HDP平台,支持组件丰富,如 HDFS、HBase、Hive、Yarn、Kafka、...
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
不以物喜的博客
02-02 2657
CDH数仓项目基于Kerberos安全认证和Sentry权限管理详细说明
CDH6.2.1 kudu1.9.0的sentry授权探索
小陌成长之路
12-27 1918
CDH6.2.1 kudu1.9.0的sentry授权探索
CDH集群部署详解:Kerberos与Apache Sentry整合
"Hadoop详细部署文档,涵盖了Hadoop的版本分支、特别是CDH服务的部署,包括Kerberos和Apache Sentry集成,以及CDH的运维和安装方法。" Hadoop是大数据处理领域的重要框架,主要由Apache软件基金会维护。Hadoop...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值