hadoop权限控制之kerberos

cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。
kerberos主要负责平台用户的权限管理，sentry则负责数据的权限管理。

下面我们来依次了解一下：
Kerberos包含一个中心节点和若干从节点，所有节点的Kerberos认证信息都要与中心节点的规则配置文件/etc/krb5.conf保持一致。安全认证均需通过中心节点，配置了安全认证的用户可以登录到集群内的 机器。
Kerberos的配置文件有两个：
1、/var/kerberos/krb5kdc/kdc.conf:包括KDC的配置信息。默认放在 /usr/local/var/krb5kdc。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。
2、/etc/krb5.conf:包含Kerberos的配置信息
Kerberos的管理对象称为principal（规则）, 与HDFS中的用户一一对应。一般我们将hdfs设置为principal的管理员，它可以创建删除其他的principal,还可以生成其他成员的keytab。keytab是每个principal对应的密钥文件，当kerberos认证使用keytab时，可以不需要输入密码，类似于SSH的信任机制。
当我们配置Kerberos的时候，系统会默认生成用户，格式一般为【用户名/hostname@domain_name】，一般情况下我们使用自己定义的用户，不要对系统生成的用户加以修改。
输入kadmin.local 进入Kerberos的交互命令行。
生成keytab: xst –k testuser.keytab testuser@HTHADOOP.COM,将对应的keytab拷贝至其他位置或服务器，则相应的节点则可以通过testuser的principal连接进HDFS.
登录到管理员账户: 如果在本机上，可以通过kadmin.local直接登录。其它机器的，先使用kinit进行验证。
kadmin.local  kinit admin/adminkadmin
增删改查账户:在管理员的状态下使用addprinc,delprinc,modprinc,listprincs命令。使用？可以列出所有的命令。
kamdin:addprinc -randkey hdfs/hadoop1kamdin:delprinc hdfs/hadoop1kamdin:listprincs命令
生成keytab:使用xst命令或者ktadd命令
kadmin:xst -k /xxx/xxx/kerberos.keytab hdfs/hadoop1
创建一个新的principal: addprinc testuser@HADOOP.COM,并输入密码
用户操作
查看当前的认证用户:klist
认证用户:kinit -kt /xx/xx/kerberos.keytab hdfs/hadoop1
删除当前的认证的缓存: kdestroy

Apache Sentry的目标是实现授权管理，它是一个策略引擎，被数据处理工具用来验证访问权限。它也是一个高度扩展的模块，可以支持任何的数据模型。当前，它支持Apache Hive和Cloudera Impala的关系数据模型，对hue的数据权限控制也有应用。
Sentry的管理对象有三个，数据库，角色，和组。数据库是在hive中创建的数据库，角色在impala中创建，而组是操作系统的用户组。
Sentry的权限管理操作，都通过impala语句完成。只有启动了sentry服务，impala服务才能正常运行。
使用impala-shell进入交互终端：
show roles列出所有的角色
show databases列出所有的数据库
create role test_role创建角色
drop role test_role删除角色
可以直接输入show命令会提示可以跟接的关键字
grant all on database ana_clientact to role admin_role 将一个数据库赋权给一个角色
revoke all on database from role admin_role取消权限
如果数据库中的是外部表，需要同时给角色赋予uri权限：
grant all on uri 'hdfs://192.168.2.121:8020/mydata' to role admin_role
列出某角色的权限：show grant role admin_role
将角色赋给一个组：grant role admin_role to group hive
完成以上操作以后，用户组即具有了相应数据库的操作权限。此时需要执行invalidate metadata操作，才会生效。
当一个新的操作系统用户加入这个用户组，用户即具有对应的数据库权限。反之，将用户从这个组中去掉，用户对数据库的操作权限即消失。
新建用户组时要保证集群内组和用户保持一致。

在HUE中配置权限
在HUE中，用户的权限是分为两个层次实现的，一个层次是HUE平台各模块的权限，这个通过HUE中组和权限实现的，另一个层次是HUE访问hive,impala数据库的权限，这个和sentry是统一的，HUE中的用户和操作系统中的用户一一映射，HUE通过寻找相同用户名的操作系统用户来确定对应的sentry权限。
这里需要注意一点，HUE中的组和操作系统的组没有关系，HUE中的组只绑定HUE平台自己的权限。
--------------------- 
版权声明：本文为CSDN博主「wx740851326」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/wx740851326/article/details/80832565