ldap + sentry架构的相关结论的验证

最新推荐文章于 2023-01-04 18:23:49 发布
最新推荐文章于 2023-01-04 18:23:49 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: sentry ldap CDH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34224565/article/details/105472488
版权
CDH 同时被 3 个专栏收录
42 篇文章 3 订阅
订阅专栏
ldap
9 篇文章 1 订阅
订阅专栏
sentry
4 篇文章 0 订阅
订阅专栏

文章目录

一、环境

ldap跟hdfs、hive整合,kerberos、sentry安装并启用。

二、非ldap下

1. 验证1:kerberos的认证、sentry的授权不关心用户的来源(ldap,linux),是独立于linxu和ldap的,可以不在linux创建对应用户。

kerberos、sentry只接收相关服务(hdfs、hive、impala)的认证、授权委托。验证用户是否认证、授权,用户是由服务提交的,至于用户最终映射到哪里(ldap、linux),kerberos、sentry并不关心

{1} 在ldap中添加一个linux中没有的entry(用户),先不赋sentry权限,查看这个用户是否可以访问hive。然后sentry再授权,查看访问情况

[1] 创建在linux中没有的ldap用户

创建组vim /opt/ldap-groups/testgroup.ldif
在这里插入图片描述
ldapadd -D “cn=ldapadmin,dc=example,dc=com” -W -x -f /opt/ldap-groups/testgroup.ldif -hnode105 -p389
在这里插入图片描述
创建用户vim /opt/ldap-users/testuser.ldif
在这里插入图片描述
ldapadd -D “cn=ldapadmin,dc=example,dc=com” -W -x -f /opt/ldap-users/testuser.ldif -hnode105 -p389
在这里插入图片描述
id testuser
在这里插入图片描述

[2] 进行krb认证

在这里插入图片描述
在这里插入图片描述

[3] 访问hdfs

没进行krb认证,报如下错误
在这里插入图片描述
如果kdestory,则不能访问
在这里插入图片描述
kinit testuser
在testuser认证的情况下,有的目录可以访问,有的访问不了
在这里插入图片描述
那是因为hdfs根本不归sentry管,通过自己的acls,在hue中给hdfs授权,其实也是走的acls,并不是sentry

[4] sentry未授权的情况下访问hive

beeline -u "jdbc:hive2://node105:10000/;principal=hive/node105@XYYH.COM"
后面的principal是hive服务的主体,用户是当前krb认证的

无法访问对应表。
在这里插入图片描述
此时testuser用户所在组testgroup没有任何角色:
在这里插入图片描述

[4] 赋予表sentry的权限,查看是否可以访问hive

  1. 切换到超级用户dcdcdc: kinit dcdcdc
    在这里插入图片描述

  2. beeline -u “jdbc:hive2://node105:10000/;principal=hive/node105@XYYH.COM”

  3. show roles; dcdcdc当然是可以获取的,testuser直接报错,因为没权限
    在这里插入图片描述

  4. show current roles;
    在这里插入图片描述

  5. 用超级用户给testuser授权
    创建role:create role testgrouprole;
    show roles;
    在这里插入图片描述
    将dctest库的权限付给testgrouprole: grant all on database dctest to ROLE testgrouprole;
    在这里插入图片描述
    将角色testgrouprole分配给testgroup组: GRANT ROLE testgrouprole TO GROUP testgroup;
    在这里插入图片描述

  6. 退出beeline,重新用testuser认证
    在这里插入图片描述
    beeline -u “jdbc:hive2://node105:10000/;principal=hive/node105@XYYH.COM”
    show current roles;会发现相比上一节,多了role
    在这里插入图片描述
    再次查询select * from dctest.test limit 10;会发现能查到dctest库中的数据。
    在这里插入图片描述

2. 验证2:整合ldap后,不在ldap但在linux的用户是否仍可以访问hive

kinit hive/hive, 发现可以访问
在这里插入图片描述
在这里插入图片描述

三、ldap整合cdh后相关验证

1. ldap中创建的用户linux是否可以查到、登陆、使用ssh登陆

在ldapadmin中创建一个用户test1在这里插入图片描述
在linux中使用ldapsearch -D “cn=admin,dc=xyyh,dc=com” -W |grep dn可以查到,在id test1却提示没有这个用户。==》
需要安装sssd
第一遍安装时没有安装ssd,之后在步骤中添加,最后所有客户端linux中可以查看到ldap中添加linux中没有添加的用户:但这个用户必须符合linux 的基本要求,比如要有组,如果ldap中添加一个没有组的用户,linux中还是查不到
在这里插入图片描述

2. ldap中创建一个用户和组,linux上不建。在hive中是否可以使用;是否可以使用sentry控制权限。hue中是否也能映射用户、组、权限。

在ldap上创建1个linux中没有的用户,设置好组,然后在不同sentry权限的情况下测试。

{1} 创建用户时并设置组,注意:创建用户时objectClass不能只选posixAccount,创建组时可以只选posixGroup

在这里插入图片描述

### {2} 在hive的beeline中测试

此时已经可以直接用test12登陆hive了
在这里插入图片描述
select current_user();
在这里插入图片描述
因为还没有授权,所以只能查看默认库
在这里插入图片描述
授权,另开一个窗口用超级用户hive登陆
在这里插入图片描述
此时就可以查看所有库了,也可以查看表中数据
在这里插入图片描述
在这里插入图片描述
再把权限取消
在这里插入图片描述
此时就不能查看了
在这里插入图片描述

{3} hue

## 3. 在beeline命令中 + ldap一个用户多个组的时 :测试sentry ### {1} src 环境: 2个库,test1和test2, test1下有表test1_table,数据是1,1 test2下有表test2_table,数据是2,2

思路:
创建2个role,role1有test1的权限,role2有test2的权限。
在ldap中的用户test12,目前有一个组test12group,给它添加2个组,group1和group2,然后分别授role1和role2。
看看sentry是否能正常发挥作用。

{2} process

创建role,授权role
create role role1;grant all on database test1 to role role1;show grant role role1;
在这里插入图片描述
create role role2;grant all on database test2 to role role2;show grant role role2;
在这里插入图片描述

ldap中创建2个组
在这里插入图片描述
sentry中建立组和role的关联

取消test12group组的role,此时test12用户只能查看default库
在这里插入图片描述
只给test12授role1,查看show databases;和select * from test1.test1_table;

只给test12授role2,取消role1,查看show databases;和select * from test2.test2_table;

目前,beeline中发现只认一个主组,别的组的role都无效,除非把主组给删掉,其他组的role才发挥作用。如何才能使用户和组多对多???

3. linux中是否可以同步ldap中多对多的用户-组的关系

{1}

安装sssd
sssd配置用户和组的多对多

{2} 亲测,是可以的。需要修改sssd的配文

【1】需要sssd的ldap_schema = rfc2307bis修改为rfc2307,因为默认就是rfc2307,所以直接注释即可。注意:所有节点上的/etc/sssd/sssd.conf都要改,sssd服务在每个节点上都有

LDAP的Schema定义了服务器上检索到默认属性名以及一些属性的含义,特别是成员属性。有两种最广泛的使用模式rfc2307和rfc2307bis,rfc2307为默认的模式。当使用rfc2307模式时,组成员是配置在memberUid的属性中。使用rfc2307bis模式时,需要在sssd.conf文件中增加如下配置;
在这里插入图片描述

【2】 在ldap中,每个用户设置主组,然后在每个组下添加memberUid。此时进入linux用id xxx查看,发现还是原来的,这是因为sssd有缓存,使用sss_cache -E清除缓存。linux就可以借助sssd完美映射ldap中用户和组的关系了。

下图中的test12用户和它的3个组都是ldap中的,linux中都没有。
在这里插入图片描述

zdkdchao
关注
专栏目录
【hadoop】CDH Sentry介绍
九师兄
10-25 7583
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。
getsentry-ldap-auth:一个Sentry扩展,用于将LDAP服务器添加为身份验证
05-26
岗哨身份认证 Django自定义身份验证后端。 该模块通过Sentry特定功能扩展了功能。 特征 此后端创建的用户是受管用户。 托管字段无法通过Sentry帐户页面进行编辑。 用户可以在创建后自动添加到组织中。 先决条件 2.0版及更高版本需要Sentry8。要获得Sentry 7支持,请使用 安装 要安装,只需添加sentry-ldap-auth您requirements.txt为哨兵环境( pip install sentry-ldap-auth )。 配置 该模块扩展了并支持其提供的所有选项(至少v1.2.x以上)。 要配置哨兵使用这个模块,添加sentry_ldap_auth.backend.SentryLdapBackend你AUTHENTICATION_BACKENDS在sentry.conf.py,就像这样: AUTHENTICATION_BACKENDS = AUT
Docker-compose方式启动Sentry +ldap登录验证
惊云
05-07 1705
Docker-compose方式启动Sentry +ldap登录验证 一,安装Docker sudo yum install -y yum-utils sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum-config-manager --enable docker-ce-edge yum -y install docker-ce systemctl start docke
hive+impala+hue+sentry+ldap整合
weixin_33889245的博客
04-12 829
公司用的cdh版本为5.14,sentry集成的步骤很简单,参照官方文档就可以完成了:https://www.cloudera.com/documentation/enterprise/5-14-x/topics/sentry.html本文主要写一些openldap的搭建和phpldap的使用,还有ldap和(hive,impala,hue)的整合。ldap的具体概念可以参照这篇文章LDAP概念和...
CDH集群启用Sentry Kerberos LDAP
小陌成长之路
04-14 753
CDH集群启用Sentry Kerberos LDAP
Hive+LDAP+Sentry
weixin_34204057的博客
04-26 411
为什么80%的码农都做不了架构师?>>> ...
Zeppelin集成Ranger实现用户权限管控
u010543388的博客
07-30 2110
前言 一、架构说明 二、
sentry 权限简介
05-18
- **安全授权**:Sentry提供了一种机制来控制数据访问,确保只有经过验证用户才能访问数据。 - **细粒度访问控制**:Sentry支持Hadoop数据和元数据的细粒度访问控制。例如,在Hive和Impala中,Sentry可以控制...
Sentry权限管理详解:CDH中的访问控制与认证
## Sentry权限管理的作用和重要性 权限管理是现代IT系统中必不可少的组成部分,它可以帮助管理员实现对各种资源的访问控制和认证。在大型分布式系统中,特别是像CDH这样的集群中,权限管理更是至关重要的。Sentry...
Python使用LDAP用户认证的方法
09-19
主要介绍了Python使用LDAP用户认证的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
getsentry-ldap-auth, 将LDAP服务器添加为authention源的岗哨扩展.zip
10-10
getsentry-ldap-auth, 将LDAP服务器添加为authention源的岗哨扩展 sentry-ldap-auth一个用于岗哨的Django 自定义认证后端。 这个模块扩展了 django-auth-ldap插件的功能,具有特定的。特性这里后端创建的用户是受管用户。 托管字段不能通过岗哨帐户页编辑。用户可以在
100.如何用OpenLDAP用户进行Sentry授权
大勇若怯任卷舒
02-11 1194
100.1 演示环境介绍 OpenLDAP:2.4.44 CM和CDH版本:5.13.1 OS为Redhat:7.3 已启用Kerberos OpenLDAP服务和CDH各个服务已安装和集成 100.2 操作演示 1.OpenLDAP环境描述 主节点IP地址 186.31.24.169 主节点HOSTNAME ip-186-31-24-169.ap-southeast-1.compute.internal 备节点IP地址 186.31.16.68 备节点HOSTNAME ip-18
Centos7下安装Sentry22.1.0,接入LDAP
AZXHNLS81的博客
12-06 503
Sentry接入LDAP
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2563
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
基于LDAPSentry的大数据认证和鉴权解决方案--Part Two:Sentry集成
u014728303的博客
12-28 8237
上一篇文章中,介绍了LDAP和HUE,Impala以及Hive的集成来完成了用户认证的工作,接下来我们聊一下如何使用Sentry来实现对数据的授权管理。 Sentry一旦和Hive集成,就会接管Hive的Metadata,也就是说。如果没有集成Sentry,Hive的metadata是存放在Hive自己的metadata数据库中的,但一旦和Sentry整合,这些metadata信息就会保
大数据框架Hue架构介绍及安装教程
最新发布
黑马程序员官方博客
01-04 1162
Hue是一个开源的Apache Hadoop UI系统,由Cloudera Desktop演化而来,最后Cloudera公司将其贡献给Apache基金会的Hadoop社区,它是基于Python Web框架Django实现的。通过使用Hue,可以在浏览器端的Web控制台上与Hadoop集群进行交互,来分析处理数据,例如操作HDFS上的数据,运行MapReduce Job,执行Hive的SQL语句,浏览HBase数据库等等。
Hive、Impala、Hue集成LDAP
数据开发探索者
11-28 1429
Hive、Impala、Hue集成LDAP
安装 CDH5.16.2 + centos7.7 + VM
DCHAO的博客
02-10 4220
在自己电脑上用VM搭建跟公司一样的CDH集群 centos7_x64 CDH5.16 JDK1.8_181 spark2.2.0 - scala2.11
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值