Linux命令模式实现开启kerberos后hive的sentry权限分配

最新推荐文章于 2024-02-26 10:37:55 发布
最新推荐文章于 2024-02-26 10:37:55 发布
阅读量789 收藏 7
点赞数 1
文章标签: linux hive sentry kerberos
本文链接:https://blog.csdn.net/shenyuye/article/details/107353047
版权
1. 在Hive集群所有节点创建两个组reader、writer,并分别在对应的组下创建reader、writer用户 
[root@fan102 ~]# groupadd reader
[root@fan102 ~]# useradd -g reader reader
[root@fan102 ~]# passwd reader

[root@fan102 ~]# groupadd writer
[root@fan102 ~]# useradd -g writer writer
[root@fan102 ~]# passwd writer

2. 使用Sentry管理员用户hive通过beeline客户端连接HiveServer2

​[root@fan102 ~]# kinit -kt /var/keytab/hive.keytab hive/hive@HADOOP.COM
[root@fan102 ~]# beeline -u "jdbc:hive2://fan102:10000/;principal=hive/fan102@HADOOP.COM"

2.1.1 创建Role(reader_role,writer_role)

> CREATE ROLE reader_role;
> CREATE ROLE writer_role;

2.1.2 销毁Role(writer_role)

> DROP ROLE writer_role;

2.2.1 为role赋予权限

> GRANT select ON DATABASE dd TO ROLE reader_role;
> GRANT insert ON DATABASE dd TO ROLE writer_role;

2.2.2 如果权限赋予要精确到表,那么可以用以下方式

> GRANT insert ON TABLE dd.teacher TO ROLE writer_role;

2.2.3 撤销权限(结合GRANT可实现权限修改操作)

> REVOKE insert ON DATABASE dd FROM ROLE writer_role;
> REVOKE insert ON TABLE dd.teacher FROM ROLE writer_role;

2.3.1 将role授予用户组

> GRANT ROLE reader_role TO GROUP reader;
> GRANT ROLE writer_role TO GROUP writer;

2.3.2 撤销role授予用户组

> REVOKE ROLE writer_role FROM GROUP writer;

3. 查看权限授予情况

3.1 查看所有role(管理员) 
> SHOW ROLES;

3.2 查看指定用户组的role(管理员)

> SHOW ROLE GRANT GROUP reader;

3.3 查看当前认证用户的role

> SHOW CURRENT ROLES;

3.4 查看指定ROLE的具体权限(管理员)

> SHOW GRANT ROLE reader_role;

3.5 查看某个角色所有已授权的组

当前没有像(SHOW GRANT ROLE reader_role;)的语句来获取角色下所有已授权的用户组,但可以通过Hue的管理界面或直接使用SQL查询Sentry数据库的方式获取。

SELECT g.GROUP_NAME
FROM SENTRY_GROUP g
JOIN SENTRY_ROLE_GROUP_MAP rg
on rg.GROUP_ID = g.GROUP_ID
JOIN SENTRY_ROLE r
ON r.ROLE_ID = rg.ROLE_ID
WHERE r.ROLE_NAME='reader_role'

4. 权限测试

4.1 为reader、writer创建Kerberos主体

[root@fan102 ~]# kadmin.local -q "addprinc reader/reader"
Authenticating as principal root/admin@HADOOP.COM with password.
WARNING: no policy specified for reader/reader@HADOOP.COM; defaulting to no policy
Enter password for principal "reader/reader@HADOOP.COM": (输入密码)
Re-enter password for principal "reader/reader@HADOOP.COM": (输入密码)
Principal "writer/writer@HADOOP.COM" created.

[root@fan102 ~]# kadmin.local -q "addprinc writer/writer"
Authenticating as principal root/admin@HADOOP.COM with password.
WARNING: no policy specified for writer/writer@HADOOP.COM; defaulting to no policy
Enter password for principal "reader/reader@HADOOP.COM": (输入密码)
Re-enter password for principal "writer/writer@HADOOP.COM": (输入密码)
Principal "writer/writer@HADOOP.COM" created.

4.2 将keytab文件生成到指定目录/var/keytab/

[root@fan102 ~]# kadmin.local -q "xst -k /var/keytab/writer.keytab writer/writer@HADOOP.COM"
[root@fan102 ~]# kadmin.local -q "xst -k /var/keytab/reader.keytab reader/reader@HADOOP.COM"

4.3 使用reader登录HiveServer2,查询dd库下的任意一张表

[root@fan102 ~]# kinit -kt /var/keytab/reader.keytab reader/reader@HADOOP.COM
[root@fan102 ~]# beeline -u "jdbc:hive2://fan102:10000/;principal=hive/fan102@HADOOP.COM"

4.4 使用writer登录HiveServer2,查询dd库下的任意一张表

[root@fan102 ~]#  kinit -kt /var/keytab/writer.keytab writer/writer@HADOOP.COM
[root@fan102 ~]# beeline -u "jdbc:hive2://fan102:10000/;principal=hive/fan102@HADOOP.COM"

4.5 查询结果

reader有对于dd库中表的查询权限,而writer没有。说明授权生效。

5. hdfs用户(可不创建)实例为创建cat1用户文件,并归属域cats用户的cat1用户下

hadoop fs -mkdir /user/cat1
hadoop fs -chown cats:cat1 /user/cat1

6. 补充

用户条件
Linux可分开创建
kerberos同时创建
hdfs同时创建
hive无需创建用户,根据kerberos实体区分

+++++++++++++++++++++++++++++++++++++++++
+         如有问题可+Q:1602701980 共同探讨           +
+++++++++++++++++++++++++++++++++++++++++

fanbuer
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux下Tableau server连接Kerberos认证的CDH Impala/hive
wuxiaabo的博客
05-21 782
背景说明: 我们正在使用tableau来进行数据可视化,其中一个比较重要的数据源就是kerberos 认证的impala/hive;经过测试,tableau的desktop可以正常连接impala,但是发布到server的impala连接会报错,连接不上,图表无法显示;而且我们的server是linux的。 查阅多方,终于处理掉这个问题,总结一下,供参考。 第一步: 参考https://www.tableau.com/zh-cn/support/drivers,选择impala对应的驱动下载并安装,
基于CentOS7下的Kerberos集成Hadoop和Hive
lcm_linux的博客
01-06 1836
目的:新项目针对Hadoop集群以及Hive使用Kerberos做认证处理 版本: Hadoop 2.7.2 Hive 1.2.1 Kerberos介绍 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为 客户机 / 服务器 应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可...
只能访问hive默认库_07687.0.3如何在Kerberos环境下用Ranger给Hive授权
weixin_31256683的博客
12-31 171
文档编写目的本篇文章主要介绍如何在CDP DC7.0.3集群中使用Ranger给Hive授权,包括对Hive中的数据库、表、列的授权。测试环境1.操作系统Redhat7.62.CDP DC7.0.33.集群已启用Kerberos4.使用root用户操作使用Ranger为Hive授权2.1 测试前置准备1.在集群内所有节点创建两个用户ranger_user1,并创建对应的Kerberos用...
Apache Sentry架构介绍
weixin_33709364的博客
04-08 1011
介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 特性...
kerberos+sentry集成hive测试
xiaozhaoshigedasb的博客
11-21 706
kerberos: 进入kerberos命令行 [root@quickstart opt]# kadmin.local Authenticating as principal test/admin@CLOUDERA with password. 查看所有的principal kadmin.local: list_principals HTTP/quickstart.cloudera...
安全管理sentry+kerberos
12-15
Sentry是Cloudera公司推出的一个开源项目,其核心功能是实现细粒度的、基于角色的权限管理,支持多租户模式。Sentry目前与Apache HiveHive Metastore/HCatalog、Apache Solr、Impala以及HDFS(针对Hive表数据)等...
hive-role.zip
01-12
"hive-role.zip" 文件中的 jar 包可能是实现 Hive 权限控制所需的一些库,比如 Sentry 或 Ranger 相关的库,或者是 Hive 自身处理权限逻辑所依赖的组件。 综上所述,Hive权限管理是一个复杂且重要的环节,涉及...
HIVE相关的jar包
10-28
例如,Hive提供了安全模式,允许用户配置SentryKerberos等安全机制,这些配置通常需要相应的jar包支持。而在性能方面,通过调整Hive的缓存策略、优化查询计划或使用更高效的执行引擎(如Tez或Spark),可以显著...
Apache Hadoop---Sentry.docx
06-12
8. **统一平台**:Sentry利用Hadoop的Kerberos认证实现安全,提供了一个统一的平台来管理所有组件的权限,并且未来的扩展性较强。 Sentry的架构包含三个核心组件: 1. **Binding**:Binding是Sentry与各种查询引擎...
cdh6.3.2+kerberos+sentry+hue+hive 库表权限管理
阿呆的数据经历
04-22 1112
作为个人笔记 主要关注两个点 1、sentry中的sentry.service.admin.group必定与hue界面添加的用户及用户组名称保持一致; 2、在hue上的安全性设置中,role角色中如果添加了server=sentry_server权限,意味着所有db都会有权限。 这个权限很好用,如果hue用户没有某个库、表的权限,那就不展示该表、库。很适用生产数据平台。 ...
hivekerberos 环境下hive 创建 hbase 映射表报错 HIVE HBASE INSUFFICIENT PERMISSIONS FOR USER ‘hive
Mrerlou的博客
10-26 618
问题描述: 使用hive 创建hive 与 hbase 的映射表时报错,说没有创建表的权限。 报错内容: HIVE HBASE INSUFFICIENT PERMISSIONS FOR USER ‘hive‘ 解决方案: 进入hbase hbase shell 赋予用户权限 grant 'hive','RWXCA' ...
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问
最新发布
qq_53058639的博客
02-26 812
1.Hive 配置 Kerberos2. Hive Cli使用Kerberos​​​​​​​3. Hive beeline使用Kerberos​​​​​​​​​​​​​​4. JDBC访问Kerberos认证Hive​​​​​​​5. Spark访问Kerberos认证Hive​​​​​​​​​​​​​​6. Flink访问Kerberos认证Hive技术连载系列,前面内容请参考前面连载9内容:​​​​​​​。
hive开通sentry权限问题梳理
寒夜
11-17 1241
一、hive权限变更缓慢 1、背景说明 2、问题分析 3、解决方式 二、sentry同步hive权限缓慢 1、背景说明 2、问题分析 三、sentry所用mysql字符集问题 1、背景说明 2、问题说明 3、解决办法 四、客户端下发问题 1、背景说明 2、问题说明 3、解决办法 五、yarn资源池配置 1、背景说明 2、问题说明 3、解决办法 六、sentry uri授权问题 1、问题说明 2、问题说明 3、解决办法 七、beeline启用sentry后,无法使用add file xxx 和add jar
impala加kerberos权限问题
jzy3711的博客
09-29 1061
公司测试集群需要配置impala+kerberos,但是测试集群很乱,很多人用,用户还有权限比较混乱,而且是ambari HDP的集群。加了kerberos后查询没有问题,建表的时候不行。impala在124也就是master上,程序在126机slave2上,hive在125上。原因:hadoop配置文件 core-site.xml错误, 用于连接的IP地址或主机名没有增加到代理配置中。1.修改/root/impala-http.keytab的权限。2.检查/etc/default/impala配置。
sentry权限控制
weixin_43866666的博客
03-07 1063
Apache Sentry是一个可以对Hadoop集群中的数据及元数据进行细粒度管理的权限管理系统。Sentry目前可以与ApacheHiveHiveMetastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)等进行集成,对其数据进行权限管理。
linux查看impala数据库权限,hive整合sentry,impala,hue之后权限管理操作
ぃ妖气ぅ的博客
05-08 1152
7.Hive授权参考(开启sentry之后,对用户授权用不了,只能针对用户组,grant role testrole to user xxxxxxx; )7.1:角色创建和删除create role star_read;drop role star_read;grant role star_read to group star_read;7.2:角色授权和取消授权7.2.1:表授权给角色gra...
(转载)详解Hive配置Kerberos认证
热门推荐
医疗影像检索
05-11 1万+
Hive提供了运行SQL语句查询存储在HDFS上数据的能力,Hive提供的查询引擎,可以将SQL语句转化成MapReduce任务,提交到Hadoop集群上执行。MapReduce任务运行的结果会存在HDFS上。下面的图表示了一个用户运行Hive查询的Hadoop内部交互。 有多种和Hive交互的方法,最常用的是CLI,不过,CLI的设计使其不便于通过编程的方式进行访问。还有可以使
实现基于Linux系统的Kerberos实验
06-01
Linux系统中安装Kerberos软件包,可以使用以下命令: ``` sudo apt-get install krb5-user krb5-config krb5-kdc krb5-admin-server ``` 2. 配置Kerberos服务器 首先,需要配置Kerberos服务器,包括Kerberos...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值