CDH5.10.0基于OpenLDAP配置 Hadoop GroupMapping

最新推荐文章于 2024-07-23 17:59:32 发布
最新推荐文章于 2024-07-23 17:59:32 发布
阅读量2.6k 收藏 6
点赞数 3
分类专栏: hadoop CDH OpenLDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/biplusplus/article/details/81603803
版权
本文详细介绍了如何在CDH5.10.0环境中,利用OpenLDAP配置Hadoop的GroupMapping。首先讨论了用户和组映射的必要性,然后通过步骤演示了如何迁移现有服务帐号到LDAP,使用migrationtools工具生成并导入LDIF文件。接着,介绍了在Cloudera Manager中设置Hadoop User Group Mapping的相关配置,并解决在配置过程中遇到的成员组显示不全的问题。最后,建议使用ApacheDirectoryStudio作为LDAP管理工具。
摘要由CSDN通过智能技术生成

kerberos解决了认证的问题,sentry解决了授权的问题。但是sentry的授权是按照角色和组来的,不支持按用户。所以我们还需要解决用户和组的映射问题。使用哪种映射方式由hadoop的hadoop.security.group.mapping参数决定。该参数默认为org.apache.hadoop.security.ShellBasedUnixGroupsMapping即基于操作系统的用户和组映射。

在linux上由NameNode所在服务器执行bash -c groups命令决定。

详见https://hadoop.apache.org/docs/r2.8.0/hadoop-project-dist/hadoop-common/GroupsMapping.html

在开发环境,还可以直接在配置文件中使用hadoop.user.group.static.mapping.overrides参数来指定指定用户和组的映射关系,例如:user1=group1,group2;user2=;user3=group2.如果在此处配置了用户和组的关系,会覆盖group mapping service provider提供的组映射。对于在此处存在的用户和组关系会直接返回,而无需进一步查询group mapping service provider。

而在生产环境中,通常采用LdapGroupsMapping。

本文以OpenLDAP为例,讲述配置过程。

有关LDAP的安装及配置,后续有机会在分享,现在大家请自行解决。

迁移现有帐号

在切换为LdapGroupsMapping之前,我们必须将CDH集群已有的服务帐号(例如hive/hdfs/mapred等)导入LDAP中,否则相关服务无法正常工作。
好在我们可以使用migrationtools来导入,方法如下

最低0.47元/天 解锁文章
lele5000
关注
专栏目录
hadoop-2.6.0-cdh5.10.0.tar.gz
03-15
在安装和配置Hadoop 2.6.0-cdh5.10.1时,需要了解集群部署的基本概念,包括NameNode、DataNode、ResourceManager、NodeManager等节点的角色和配置。同时,为了保证集群的稳定运行,需要关注网络设置、安全性配置(如...
hadoop用户和权限
weixin_30502965的博客
07-29 978
hadoop用户和权限 当前Apache Hadoop认证(authentication)支持simple和kerberos,simple是默认的,其实是信任操作系统的认证结果(也就是直接使用操作系统的用户)。kerberos是一套第三方的认证系统,我们没有使用。以下基于hadoop 2.6.0版本。hadoop权限相关的问题,涉及四个方面:H...
Hadoop中的dr.who是什么
热门推荐
说文科技,做有态度的研究。
01-04 1万+
Hadoop中的dr.who是什么? 1.问题 今天在查看自己的hadoop web ui的时候,发现了如下的界面: 仔细看右上角,发现这里登陆的用户名是:dr.who,这个dr.who是谁呢?难道是别黑客入侵了?【一般不可能是黑客入侵,难道我自己的虚拟机集群都值钱?】 2.原因 下面这句话引自《Hadoop权威指南》的chapter 6 中的Setting Up the Development...
hadoop大数据安全管理:ldap、keberos、ranger
最新发布
qq_41358574的博客
07-23 1160
hadoop大数据中认证一般用keberos,授权用ranger,kerberos和Ldap组件共同组成整个集群的安全鉴权体系,Ldap负责用户数据存储。kerberosKerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。kerberos所管理的一个用户或者服务叫Principal,其格式通常如下:primary/instance@realm。
Hadoop2.6新增用户隔离 hdfs权限介绍
JacksonKing的专栏
11-24 517
Hadoop2.6新增用户隔离 1.hadoop文件权限介绍#   (这部分内容参考成品 https://blog.csdn.net/skywalker_only/article/details/40709447) 之前在论坛看到一个关于HDFS权限的问题,当时无法回答该问题。无法回答并不意味着对HDFS权限一无所知,而是不能准确完整的阐述HDFS权限,因此决定系统地学习HDFS文件权限。HDFS的文件和目录权限模型共享了POSIX(Portable Operating System Interfa.
ShellBasedUnixGroupsMapping: got exception trying to get groups for user webuser
云计算?
09-13 545
昨天好不容易把集群搞起来了,今天运行一个程序却在logs里出现这样的错误,让我无比的纠结呀:在终端中显示为: logs中的部分提示为: 2012-09-13 11:29:40,780 WARN org.apache.hadoop.security.ShellBasedUnixGroupsMapping: got exception trying to get groups for use...
LDAP配置 Hadoop Group Mapping参数填写原理
周源的专栏
11-01 3826
其他参数很好确认,但如下几个自定义core-site.xml文件中的参数,用户可能不知道如何填写,举例: hadoop.security.group.mapping.ldap.search.filter.user (&(objectClass=posixAccount)(uid={0})) hadoop.security.group.mapping.ldap.search.f
zookeeper-3.4.5-cdh5.10.0.tar.gz
05-12
在这个"zookeeper-3.4.5-cdh5.10.0.tar.gz"压缩包中,我们得到了一个针对CDH (Cloudera Distribution Including Apache Hadoop) 5.10.0版本定制的Zookeeper 3.4.5实现。这个工具包对于Hadoop的高可用性和热备管理至...
hive-1.1.0-cdh5.10.0.tar.gz
08-04
`hive-1.1.0-cdh5.10.0.tar.gz`是一个包含Hive 1.1.0版本与CDH5.10.0集成的压缩包,用于在Cloudera Distribution Including Apache Hadoop (CDH) 5.10.0环境下运行。 Hive的核心组件包括以下几个方面: 1. **Hive ...
CDH5.10.0离线安装
10-05
MySQL是一个开源的关系型数据库管理系统,CDH5.10.0部署过程中使用MySQL来存储Cloudera Manager和Hadoop集群的元数据。部署MySQL的步骤包括下载MySQL的tar.gz包,检查是否有MySQL的安装,解压并重命名MySQL文件夹到...
CDH5.10.0离线安装部署文档
10-05
CDH5.10.0是Cloudera公司推出的一个Hadoop发行版,其集成了众多大数据处理组件,为用户提供了构建和管理大数据平台的一站式解决方案。CDH5.10.0的离线安装部署涉及到多种服务组件,其中包括HDFS(Hadoop Distributed...
hadoop技术探索之三
游离在社会边缘
02-01 706
本章节继续介绍HDFS的一些概念和功能。一、配额HDFS允许管理员为某个目录设置文件名字配额,即是指在文件的拓扑树中以该目录为根的所有文件数目总和上限。超过配额时是不能够在该目录里新建目录或上传文件了。最大的配额是Long.Max_Value。在统计一个目录的所有文件数目时,目录本身也包括在内,故如果设置名字配额为1的话,将会使该目录保持为空。管理命令:设置名字配额:hdfs dfsadmin...
Hadoop生态圈(十七)- HDFS权限管理
程序园@大Null
01-25 3690
UGO权限管理,Group Mapping组映射,Simple认证,Kerberos认证,ACL权限管理,umask权限掩码,UGO权限相关命令,Web页面修改UGO权限,基于Linux/Unix系统的用户和用户组,基于使用LDAP协议的数据库,ACL Shell命令,ACL操作实战
Hadoop 学习笔记一 基础知识及常用命令
编程圈子-谢厂节的博客
06-20 1660
今天开始对Hadoop进行系统化的学习。此博文系列将会记录我的学习过程。了解Hadoop简介 Hadoop目前属于Apache基金会,是针对海量数据处理的理想工具。我的学习教材主要是Hadoop权威指南(中文版)。  Hadoop起源于Nutch,在Yahoo的帮助下,Nutch的分布式运算这部分被独立出来,命名为HadoopHadoop克隆了Google运行系统的主要框架,包括文件系统HDFS
Hadoop参数汇总
01-04 1872
Hadoop参数汇总 @(hadoop)[配置] linux参数 以下参数最好优化一下: 文件描述符ulimit -n 用户最大进程 nproc (hbase需要 hbse book) 关闭swap分区 设置合理的预读取缓冲区 Linux的内核的IO调度器 JVM参数 JVM方面的优化项Hadoop Performance Tuning Guide Hadoop参数大全 适用
YARN队列用户提交作业权限配置
lin86182824的博客
07-27 4619
一、背景 yarn层面做queue资源隔离,是为了划分不同资源给不同开发人员,甚至不同团队的人。 1、用户默认队列配置 某个用户或者某个小组的成员,默认情况下,提交到指定的队列中(而不是提交到root.default中) 2、队列权限配置 某个用户或者某个小组的成员,只能把任务提交到指定的队列中(队列权限) 3、hadoop group mapping 我们后续的配置中,会有用户组的权限配置,所以这里要特地说明下组映射的事情 hadoop默认是拿namenode所在机器的linux用户的用户组信息,也就是说
org.apache.hadoop.security.JniBasedUnixGroupsMappingWithFallback not org.apache.hadoop.security.Grou
笑着做学生的博客
08-17 6251
在使用hbase传输数据的时候遇到了一个错误 class org.apache.hadoop.security.JniBasedUnixGroupsMappingWithFallback not org.apache.hadoop.security.GroupMappingServiceProvider 找了很多方法都不管用,最后直接把hbase里jar包的JniBasedUnixGroupsMappingWithFallback类和GroupMappingServiceProvider删除掉,然后错误
hadoop权限说明 2.4.1
w511913253的专栏
12-28 561
hdfs文件系统对文件和文件夹的权限很多都借鉴了POSIX model(不懂),每个文件和文件夹都只能被他的拥有者或者组访问,文件拥有者,其他用户组的成员,和其他用户,对文件或文件夹拥有独立的权限。 对于文件,r 代表能读取文件的权限,w 代表写权限或者追加到源文件。对文文件夹 ,r 权限是列出文件夹中的内容包括文件夹和文件,w是创建或者删除文件或者文件夹,x是访问文件夹的子节点。 与POSI
linux查看资源池命令,Hadoop Job 按组分资源池执行的方式
weixin_35727143的博客
04-28 435
hive在生产环境中由于用户数量和身份的不同,难免会对用户按组进行划分,根据不同组的优先级划分Hadoop资源,hadoop fairscheduler支持按用户组划分资源池,每个group对应一个组pool,然后根据pool优先级划分mapreduce资源,在map-site.xml中添加以下配置即可实现按组划分:mapred.jobtracker.taskSchedulerorg.apache...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值