100.如何用OpenLDAP的用户进行Sentry授权

于 2022-02-11 10:14:40 发布
阅读量1.2k 收藏
点赞数
分类专栏: Hadoop 文章标签: hadoop 运维 zookeeper
@大勇若怯任卷舒
本文链接:https://blog.csdn.net/m0_47454596/article/details/122874764
版权

100.1 演示环境介绍

  • OpenLDAP:2.4.44
  • CM和CDH版本:5.13.1
  • OS为Redhat:7.3
  • 已启用Kerberos
  • OpenLDAP服务和CDH各个服务已安装和集成

100.2 操作演示

1.OpenLDAP环境描述

  • 主节点IP地址
    • 186.31.24.169
  • 主节点HOSTNAME
    • ip-186-31-24-169.ap-southeast-1.compute.internal
  • 备节点IP地址
    • 186.31.16.68
  • 备节点HOSTNAME
    • ip-186-31-16-68.ap-southeast-1.compute.internal
  • 主节点和备节点均OpenLDAP已安装

2.创建和验证OpenLDAP

  • 编辑testsentry.ldif文件:
[root@ip-186-31-24-169 ldap]# vim testsentry.ldif
#添加用户默认组
dn: cn=testsentry,ou=Group,dc=fayson,dc=com
objectClass: posixGroup
objectClass: top
cn: testsentry
userPassword: {SSHA}KYgsfyI/uny0dKPNeMRNG54BdwV6KlWA
gidNumber: 2999
#添加用户
dn: uid=testsentry,ou=People,dc=fayson,dc=com
uid: testsentry
cn: testsentry
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {SSHA}KYgsfyI/uny0dKPNeMRNG54BdwV6KlWA
shadowLastChange: 17493
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 2999
gidNumber: 2999
homeDirectory: /home/testsentry
  • 执行如下命令导入testsentry用户
ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f testsentry.ldif
  • 验证OpenLDAP是否成功添加testsentry用户
ldapsearch -D "cn=Manager,dc=fayson,dc=com" -W  |grep testsentry
  • 验证CDH集群所有节点已同步该testsentry用户
[root@ip-186-31-16-68 shell]# sh ssh_do_all.sh node.list "id testsentry"

3.Kerberos账号的创建

  • 在kadmin所在服务器上执行如下命令创建Kerberos账号
[root@ip-186-31-16-68 ~]# kadmin.local 
Authenticating as principal hbase/admin@FAYSON.COM with password.
kadmin.local:  addprinc testsentry@FAYSON.COM
WARNING: no policy specified for testsentry@FAYSON.COM; defaulting to no policy
Enter password for principal "testsentry@FAYSON.COM": 输入账号密码
Re-enter password for principal "testsentry@FAYSON.COM": 输入账号密码
Principal "testsentry@FAYSON.COM" created.
kadmin.local:
  • 测试Kerberos账号是否可以使用
    • 注意:用户名需与OpenLDAP一致
[root@ip-186-31-16-68 ~]# kinit testsentry@FAYSON.COM
Password for testsentry@FAYSON.COM: 
[root@ip-186-31-16-68 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: testsentry@FAYSON.COM
Valid starting       Expires              Service principal
04/12/2018 22:17:45  04/13/2018 22:17:45  krbtgt/FAYSON.COM@FAYSON.COM
        renew until 04/19/2018 22:17:45
[root@ip-186-31-16-68 ~]#

4.Hue授权OpenLDAP用户组

  • 进入Security授权界面
    • 注意:需使用hive的超级管用登录Hue
  • 把tpcds_text_2库的所有权限授权给testsentry用户
    • 添加tpcds_role角色
  • 如下即为创建成功

5.授权验证

  • 使用testsentry用户登录Hue,验证授权是否正确
  • 在命令行执行
[root@ip-186-31-16-68 ~]# beeline 
beeline> !connect jdbc:hive2://localhost:10000
Enter username for jdbc:hive2://localhost:10000: testsentry
Enter password for jdbc:hive2://localhost:10000: ******

使用hadoop命令浏览授权库的数据目录

[root@ip-186-31-16-68 ~]# kinit testsentry
Password for testsentry@FAYSON.COM: 
[root@ip-186-31-16-68 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: testsentry@FAYSON.COM
Valid starting       Expires              Service principal
04/12/2018 23:12:26  04/13/2018 23:12:26  krbtgt/FAYSON.COM@FAYSON.COM
        renew until 04/19/2018 23:12:26
[root@ip-186-31-16-68 ~]# hadoop fs -ls /tmp/tpcds-generate/2/customer
Found 1 items
-rwxrwx--x+  3 hive hive   19084888 2018-03-17 04:01 /tmp/tpcds-generate/2/customer/data-m-00001
[root@ip-186-31-16-68 ~]#

6.总结

  • OpenLDAP中的用户中与Linux中的用户是一致的
  • Sentry授权是针对用户组的,所以在需要在Hue中授权的用户组名与OpenLDAP中的用户组名称一致
  • 如果集群启用了Kerberos则需要创建OpenLDAP相应用户的Kerberos账号,否则LDAP用户无法访问授权的表的HDFS数据目录

大数据视频推荐:
CSDN
大数据语音推荐:
企业级大数据技术应用
大数据机器学习案例之推荐系统
自然语言处理
大数据基础
人工智能:深度学习入门到精通

大勇任卷舒
关注
专栏目录
CDH5.10.0基于OpenLDAP配置 Hadoop GroupMapping
风在身后的专栏
08-12 2639
kerberos解决了认证的问题,sentry解决了授权的问题。但是sentry授权是按照角色和组来的,不支持按用户。所以我们还需要解决用户和组的映射问题。使用哪种映射方式由hadoophadoop.security.group.mapping参数决定。该参数默认为org.apache.hadoop.security.ShellBasedUnixGroupsMapping即基于操作系统的用户和...
Docker-compose方式启动Sentry +ldap登录验证
qq_46416934的博客
05-14 544
Docker-compose方式启动Sentry +ldap登录验证 一,安装Docker sudo yum install -y yum-utils sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum-config-manager --enable docker-ce-edge yum -y install docker-ce systemctl start docke
Hive+LDAP+Sentry
weixin_34204057的博客
04-26 420
为什么80%的码农都做不了架构师?>>> ...
Impala+LDAP+Sentry
weixin_33700350的博客
04-26 373
为什么80%的码农都做不了架构师?>>> ...
大数据之CDH数仓(17) | Sentry授权实战
Knight
10-13 866
Sentry授权实战 使用Sentry进行授权管理,需要使用Sentry的管理员用户对其他用户进行授权授权的方式有两种,一是通过HUE进行可视化操作,一是使用HIVE中的授权语句进行操作。 Sentry实战之HUE 1)配置HUE支持Sentry 在HUE配置项中搜索“Sentry”,勾选Sentry。 1)查看Sentry权限管理中的管理员组。 在Sentry的配置项中搜索“管理员组”,其中包括hive、impala,只有当某用户所属组位于其中时,才可为其他用户授予权限。 2)在Hive集群所有节点
ldap+kerberos+sentry实现验证
说文科技,做有态度的研究。
07-19 2248
ldap+kerberos+sentry实现验证 1)ldap的终端操作会在linux系统上创建出相应的用户。终端的操作比较危险,需要谨慎行事! 2)kerberos是用来创建认证的。 3)hive将表权限赋给某个用户的操作。【在mysql中将表赋权限给用户的操作是直接赋权的。比如语句:grant all privileges on hive.* to ‘hive’@’%’;】。但是hive中...
ldap + sentry架构的相关结论的验证
DCHAO的博客
04-12 1485
文章目录一、环境二、验证1. 验证1:kerberos的认证、sentry授权不关心用户的来源(ldap,linux),是独立于linxu和ldap的,可以不在linux创建对应用户。{1} 在ldap中添加一个linux中没有的entry(用户),先不赋sentry权限,查看这个用户是否可以访问hive。然后sentry授权,查看访问情况[1] 创建在linux中没有的ldap用户[2] 进...
Zeppelin集成Ranger实现用户权限管控
u010543388的博客
07-30 2127
前言 一、架构说明 二、
Impala配置OpenLdap认证、impal角色权限命令总结
huonan_123的博客
07-15 1283
Impala配置OpenLdap认证 参考配置 登陆 方式 第一种beeline 登陆: -u 'jdbc:hive2://ip:21050' -n username -p password 第二种 impala-shell 登陆 impala-shell -i ip -l -u username --auth_creds_ok_in_clear 命令总结总结 官网地址 创建角色...
CDH5启用Kerberos和添加Sentry服务
_啊林
07-08 970
CDH5启用Kerberos和添加Sentry服务
sentry 权限简介
05-18
sentry 授权 hadoop设置 控制数据访问 Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2583
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
基于LDAPSentry的大数据认证和鉴权解决方案--Part Two:Sentry集成
u014728303的博客
12-28 8246
上一篇文章中,介绍了LDAP和HUE,Impala以及Hive的集成来完成了用户认证的工作,接下来我们聊一下如何使用Sentry来实现对数据的授权管理。 Sentry一旦和Hive集成,就会接管Hive的Metadata,也就是说。如果没有集成Sentry,Hive的metadata是存放在Hive自己的metadata数据库中的,但一旦和Sentry整合,这些metadata信息就会保
CDH5.3配置Kerberos+LDAP+Sentry记录
小黑
09-06 2万+
系统环境说明 操作系统:Centos6.5 CDH版本:5.3 JDK版本:1.7 操作用户:root Kerberos版本:1.10.3 LDAP版本:2.4.40 Sentry版本:1.4 集群配置 机器数量:5 内存:64G 硬盘:10T CPU核心数:24 运行的服务:HDFS、Yarn、HBase、Hive、Sqoop2、Impala、Zookeep
cdh集成ldap
weixin_38655836的博客
05-05 5026
主要参考的服务的网址: 经过测试,如果根据腾讯云中的这个文档中的指示,把hiveadmin当成是hive的超级用户的话,会出现sentry赋权有问题的情况(那个hue中的加号(添加role)出不来),所以后面出现hiveadmin用户的情况,这里后面都需要变成hive,就可以了 03-Active Directory的使用与验证: https://mp.weixin.qq.com/s?__biz=...
关于Sentry
热门推荐
Arthur的随笔
03-06 2万+
1. Sentry介绍及使用 Sentry is a realtime event logging and aggregation platform. At its core it specializes in monitoring errors and extracting all the information needed to do a proper post-mortem wi
sentry权限管理设置实例
梦忆故城的博客
08-17 2335
请参考https://blog.csdn.net/u013168084/article/details/99690290,自行安装sentry。 1.Hive/Impala/Hue/HDFS服务集成sentry 1.1hive配置 配置Hive使用Sentry服务 关闭Hive的用户模拟功能 集群未启用安全认证环境下,需要配置以下参数 1.2impala配...
Sentry 授权
张伟的专栏
08-26 933
文章目录 前言一、架构概述1.Sentry 组件2.主要概念3.User身份和Group映射4.基于roles的访问控制5.统一授权 二、SentryHadoop生态系统的集成1.Hive and Sentry2.Impala and Sentry2.Sentry-HDFS同步3.Search and Sentry4.Authorization Administration1.Disabling Hive CLI2.使用Hue管理Sentry 权限 总结 前言 sentry是Hadoo...
Sentry权限赋权示例
sharkdoodoo
09-18 2443
连接sentry 使用beeline [root@host1 ~]# beeline -u "jdbc:hive2://host1:10000/" -n hive -p hive -d org.apache.hive.jdbc.HiveDriver Connecting to jdbc:hive2://host1:10000/ Connected to: Apache Hive (versio...
OpenLDAP配置指南:系统用户认证解决方案
本文档是OpenLDAP Software 2.4管理员指南的一部分,旨在帮助用户理解和配置OpenLDAP进行系统用户认证。 1.1. 目录服务是什么? 目录服务是一种存储和检索组织信息的数据库,它通常包含用户的账号、权限、联系...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值