大数据权限管理-Hue和ldap配置及案例操作(5)

最新推荐文章于 2020-09-22 12:24:42 发布
最新推荐文章于 2020-09-22 12:24:42 发布
阅读量4.1k 收藏 7
点赞数 4
分类专栏: 【大数据】权限管理 文章标签: 大数据权限管理 CDH Security hue ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silentwolfyh/article/details/88851951
版权

目录

一、LDAP和CDH配置

       1)LDAP和Hive的集成
       2)LDAP和Hive的测试
       3)LDAP和impala的集成
       4)LDAP和impala的测试
       5)LDAP和HUE的集成(搜索绑定)
              a)hue配置
              b)创建ldap组
              c)创建ldap用户
              d)前台展示组
              e)前台展示用户

二、Ladp的操作使用

       1)基本操作
       2)Ldap建立组和建立用户

三、Error

       1)Ldap启动错误
       2)ldapmodify执行出错
       3)Ldap和hive、impala集成错误
       4)Hue连接hive和impala错误
       5)Hue添加用户
       6)Hue用户无法同步
       7)Hue组无法同步
       8)HDFS错误
       9)Impala错误

四、Hue元数据表说明

       1)auth_group 组名称表
       2)auth_user 用户表
       3)auth_user_groups 用户和组对应表
       4)useradmin_grouppermission hue组权限表
       5)useradmin_huepermission hue的权限表
       6)useradmin_ldapgroup ldap组和hue组关联表
       7)useradmin_userprofile 用户hdfs路径表信息

五、参看其余文档

一、LDAP和CDH配置

       1)LDAP和Hive的集成
http://cxy7.com/articles/2018/07/17/1531808242972.html

ldap://silentwolfyh.com
ou=people,dc=silentwolfyh,dc=com
hadoop.proxyuser.hue.hosts  (hue是代理用户)
hadoop.proxyuser.hue.groups (hue是代理用户)

在这里插入图片描述账号test , 密码123456

[yuhui@hadoop11 ~]$ beeline -u "jdbc:hive2://hadoop11:10000" -n yuhui1 -p 123456 -d org.apache.hive.jdbc.HiveDriver

在这里插入图片描述
       2)LDAP和Hive的测试

!connect jdbc:hive2://hadoop11:10000/
chenxiaolong34
123456

在这里插入图片描述
       3)LDAP和impala的集成
http://cxy7.com/articles/2018/07/17/1531827540376.html(重点)

enable_ldap_auth
ldap_uri=ldap://silentwolfyh.com:389
LDAP BaseDN=ou=people,dc=silentwolfyh,dc=com
--ldap_passwords_in_clear_ok=true
--authorized_proxy_user_config=hue=*
hadoop.proxyuser.hue.hosts (hue代理用户)
hadoop.proxyuser.hue.groups(hue代理用户)

在这里插入图片描述在这里插入图片描述
       4)LDAP和impala的测试

impala-shell -l -u chenxiaolong34 --auth_creds_ok_in_clear

在这里插入图片描述在这里插入图片描述
       5)LDAP和HUE的集成(搜索绑定)

https://blog.csdn.net/u011026329/article/details/79171890

              a)hue配置
界面配置内容如下,图片如下:

backend=desktop.auth.backend.LdapBackend
ldap_url= ldap://172.25.33.131:389
ldap_cert= /path_to_certificate/cert.pem
use_start_tls= false
ldap_username_pattern="uid=<username>,ou=people,dc=silentwolfyh,dc=com "
使用搜索绑定身份验证
search_bind_authentication = true
create_users_on_login=true
LDAP 搜索基础
base_dn="dc=silentwolfyh,dc=com "
LDAP 绑定用户可分辨名称
bind_dn="uid=hue,ou=people,dc=silentwolfyh,dc=com "
LDAP 绑定密码
bind_password=hue

在这里插入图片描述

LDAP 用户名属性(LDAP Username Attribute):user_name_attr = uid 
LDAP 用户筛选(LDAP User Filter):user_filter = (objectClass=posixAccount)
LDAP 组筛选(LDAP Group Filter:group_filter = (|(objectClass=organizationalUnit)(objectClass=posixGroup)) 
LDAP 组名称属性(LDAP Group Name Attribute):group_name_attr = cn 
LDAP 组成员身份属性(LDAP Group Membership Attribute):group_member_attr = memberUID # 非常重要,否则无法识别映射

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述hue_safety_valve.ini

[desktop]
[[ldap]]
  sync_groups_on_login=true

在这里插入图片描述

              b)创建ldap组

useradd songxitang
sudo groupadd silentwolfyh_ops
usermod -g silentwolfyh_ops songxitang
passwd songxitang (123456)


[root@hadoop11 ~]# id songxitang
uid=810(songxitang) gid=811(silentwolfyh_ops) groups=811(silentwolfyh_ops)

[root@ hadoop11 ~]# cat  /tmp/create_group_silentwolfyh_ops.ldif
dn: cn=silentwolfyh_ops,ou=silentwolfyh,dc=silentwolfyh,dc=com
objectClass: top
objectClass: posixGroup
gidNumber: 810
memberUID: ${MEMBER_UID}
description: ${DESCRIPTION_STIRNG}

ldapadd -x -D "uid=hue,ou=people,dc=silentwolfyh,dc=com" -w hue -f /tmp/create_group_silentwolfyh_ops.ldif

在这里插入图片描述              c)创建ldap用户

[root@hadoop11 ~]# cat /tmp/create_user_songxitang.ldif
dn: uid=songxitang,cn=silentwolfyh_ops,ou=silentwolfyh,dc=silentwolfyh,dc=com
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
givenName: xitang
sn: song
cn: songxitang
mail: songxitang@domain.com
telephoneNumber: 0101-3333333
mobile: 13111111111
uid: songxitang
uidNumber: 1005
gidNumber: 1006
homeDirectory: /home/songxitang
loginShell: /bin/bash

ldapadd -x -D "uid=hue,ou=people,dc=silentwolfyh,dc=com" -w hue -f /tmp/create_user_songxitang.ldif

在这里插入图片描述修改用户密码

ldappasswd -x -D "uid=hue,ou=people,dc=silentwolfyh,dc=com" -w hue "uid=songxitang,cn=silentwolfyh_ops,ou=silentwolfyh,dc=example,dc=com" -S

              d)前台展示组
在这里插入图片描述在这里插入图片描述              e)前台展示用户
在这里插入图片描述

二、Ladp的操作使用

       1)基本操作
https://blog.csdn.net/u011026329/article/details/79171996
https://www.zhukun.net/archives/7980

添加ldap的文件

ldapadd -x -D "uid=hue,ou=people,dc=javachen,dc=com" -w hue -f xxx.ldif

修改ldap密码

ldappasswd -x -D "uid=hue,ou=people,dc=javachen,dc=com" -w hue "uid=people1,cn=silentwolfyh_ops,ou=silentwolfyh,dc=javachen,dc=com" -S

查询

ldapsearch -x -D "uid=hue,ou=people,dc=javachen,dc=com" -w hue -b "uid=user1,cn=silentwolfyh_ops,ou=silentwolfyh,dc=javachen,dc=com"

删除:用户或组条目

$ ldapdelete -x -w root -D 'uid=ldapadmin,ou=people,dc=example,dc=com' "uid=test,ou=people,dc=example,dc=com" 

$ ldapdelete -x -w root -D 'uid=ldapadmin,ou=people,dc=example,dc=com' "cn=test,ou=group,dc=example,dc=com"

       2)Ldap建立组和建立用户
建立组织单元:organizationalUnit

dn: ou=language,dc=javachen,dc=com
objectClass: organizationalUnit
ou: language

建立组:在organizationalUnit的silentwolfyh部门下面建立ml组

dn: cn=ml,ou=silentwolfyh,dc=javachen,dc=com
objectClass: top
objectClass: posixGroup
cn: ml
gidNumber: 823
description: 机器学习

建立用户1,2,3(可以建多个用户放入一个ldif文件中,批量加用户)

dn: uid=people1,cn=ml,ou=silentwolfyh,dc=javachen,dc=com
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
sn:people1
cn:people1
uid: people1
uidNumber: 817
gidNumber: 823
homeDirectory: /home/people1
loginShell: /bin/bash

#用户和组的映射 add_user_to_group.ldif

dn: cn=ml,ou=silentwolfyh,dc=javachen,dc=com
changetype: modify
add: memberUid
memberUid: people1

在这里插入图片描述在这里插入图片描述在这里插入图片描述

三、Error

       1)Ldap启动错误
启动 LDAP 服务:

chkconfig --add slapd
chkconfig --level 345 slapd on

/etc/init.d/slapd start

授权

chown -R ldap.ldap /var/lib/ldap/

在这里插入图片描述
       2)ldapmodify执行出错

[yuhui@hadoop11 ldapshell]# ldapmodify -Y EXTERNAL -H ldapi:/// -f m1.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={2}bdb,cn=config"
ldap_modify: Inappropriate matching (18)
	additional info: modify/add: olcRootPW: no equality matching rule

解决办法:
修改modify.ldif中对应选项的"add"为"replace"即可

       3)Ldap和hive、impala集成错误
https://www.cloudera.com/documentation/enterprise/latest/topics/cdh_sg_hiveserver2_security.html#concept_vxf_pgx_nm

User 'hue' is not authorized to delegate to ‘hue’

解决:

hadoop.proxyuser.hue.hosts
hadoop.proxyuser.hue.groups

在这里插入图片描述
       4)Hue连接hive和impala错误

https://stackoverflow.com/questions/51854958/user-impersonation-for-access-to-hive
http://cxy7.com/articles/2018/07/17/1531827540376.html

只配置了hive和ladp。hue出现错误
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

TSocket read 0 bytes
TSocket read 0 bytes (code THRIFTTRANSPORT): TTransportException('TSocket read 0 bytes',)
Bad status: 3 (Error validating the login)
Bad status: 3 (Error validating the login) (code THRIFTTRANSPORT): TTransportException('Bad status: 3 (Error validating the login)',)

10:10:25 上午	WARNING	thrift_util	Out of retries for thrift call: GetSchemas
10:10:25 上午	INFO	thrift_util	Thrift saw a transport exception: TSocket read 0 bytes

Failed to validate proxy privilege of ldapadmin for yuhui1
 
Bad status for request TOpenSessionReq(username=u'yuhui1', password=None, client_protocol=6, configuration={'hive.server2.proxy.user': u'yuhui1'}): TOpenSessionResp(status=TStatus(errorCode=0, errorMessage='Failed to validate proxy privilege of ldapadmin for yuhui1', sqlState='08S01', infoMessages=['*org.apache.hive.service.cli.HiveSQLException:Failed to validate proxy privilege of ldapadmin for yuhui1:14:13', 'org.apache.hive.service.auth.HiveAuthFactory:verifyProxyAccess:HiveAuthFactory.java:326', 'org.apache.hive.service.cli.thrift.ThriftCLIService:getProxyUser:ThriftCLIService.java:753', 'org.apache.hive.service.cli.thrift.ThriftCLIService:getUserName:ThriftCLIService.java:384', 'org.apache.hive.service.cli.thrift.ThriftCLIService:getSessionHandle:ThriftCLIService.java:411', 'org.apache.hive.service.cli.thrift.ThriftCLIService:OpenSession:ThriftCLIService.java:316', 'org.apache.hive.service.cli.thrift.TCLIService$Processor$OpenSession:getResult:TCLIService.java:1253', 'org.apache.hive.service.cli.thrift.TCLIService$Processor$OpenSession:getResult:TCLIService.java:1238', 'org.apache.thrift.ProcessFunction:process:ProcessFunction.java:39', 'org.apache.thrift.TBaseProcessor:process:TBaseProcessor.java:39', 'org.apache.hive.service.auth.TSetIpAddressProcessor:process:TSetIpAddressProcessor.java:56', 'org.apache.thrift.server.TThreadPoolServer$WorkerProcess:run:TThreadPoolServer.java:286', 'java.util.concurrent.ThreadPoolExecutor:runWorker:ThreadPoolExecutor.java:1142', 'java.util.concurrent.ThreadPoolExecutor$Worker:run:ThreadPoolExecutor.java:617', 'java.lang.Thread:run:Thread.java:745', '*org.apache.hadoop.security.authorize.AuthorizationException:User: ldapadmin is not allowed to impersonate yuhui1:0:-1'], statusCode=3), sessionHandle=None, configuration=None, serverProtocolVersion=6)

解决:hue中修改如下
hue_safety_valve_server.ini 的 Hue Server 高级配置代码段(安全阀)
在这里插入图片描述

[impala]
server_host=hadoop11
server_interface=hiveserver2
server_port=21050
query_timeout_s=100
impersonation_enabled=True
auth_username=hue
auth_password=hue

[beeswax]
close_queries=True
use_sasl=False
auth_username=hue
auth_password=hue

       5)Hue添加用户

Could not get LDAP details for users in pattern yuhui1.

在这里插入图片描述

Could not get LDAP details for users with pattern 123

Failed to find LDAP user: Distinguished Name provided does not contain configured Base DN. Base DN: ou=people,dc=silentwolfyh,dc=com, DN: bjjizhou
Could not get LDAP details for users with pattern bjjizhou

解决:只能添加ldap中的用户
在这里插入图片描述
       6)Hue用户无法同步
https://community.cloudera.com/t5/Web-UI-Hue-Beeswax/Failed-to-validate-proxy-privilege-of-hue-hive-for/td-p/49686

Could not create home directory at login for hue.

将Hue配置为所有其他用户和组的代理用户,这意味着它可以代表任何其他用户提交请求。添加核心的site.xml:

hadoop.proxyuser.hue.groups
hadoop.proxyuser.hue.hosts

在这里插入图片描述       7)Hue组无法同步

在这里插入图片描述Could not get LDAP details for group pattern abc

同步组只能是ldap中的组,通过phpLDAPadmin界面去看

       8)HDFS错误

Resetting dropped connection: YZ-25-33-141.h.chinabank.com.cn 50070
Potential detail: StandbyException: Operation category READ is not supported in state standby. Visit https://s.apache.org/sbnn-error (error 403)

解决:将141的hdfs变成active

       9)Impala错误

LDAP authentication specified, but without TLS. Passwords would go over the network in the clear. Enable TLS with --ldap_tls or use an ldaps:// URI. To override this is non-production environments, specify --ldap_passwords_in_clear_ok
. Impalad exiting.
Wrote minidump to /var/log/impala-minidumps/impalad/e50eb300-de19-4486-380a6c8f-0b3aa37c.dmp

解决:

Impala 命令行参数高级配置代码段(安全阀)
--ldap_passwords_in_clear_ok=true
--auth_creds_ok_in_clear
--authorized_proxy_user_config=hue=*

在这里插入图片描述
在这里插入图片描述

四、Hue元数据表说明

       1)auth_group 组名称表
备注:hue创建组的时候表中新增组名称
在这里插入图片描述

       2)auth_user 用户表
备注:hue创建用户或者hue登录时候创建用户
在这里插入图片描述       3)auth_user_groups 用户和组对应表
备注:用户登录的时候自动和组进行关联
在这里插入图片描述       4)useradmin_grouppermission hue组权限表
在这里插入图片描述       5)useradmin_huepermission hue的权限表

在这里插入图片描述       6)useradmin_ldapgroup ldap组和hue组关联表
备注:ldap查询的组名称在此表中出现
在这里插入图片描述       7)useradmin_userprofile 用户hdfs路径表信息

在这里插入图片描述

五、参看其余文档

https://blog.csdn.net/u014728303/article/details/53908412
https://blog.csdn.net/u011026329/article/details/79171996
https://blog.csdn.net/mnasd/article/details/84947690
Ldap解释及理解
https://blog.csdn.net/xiaowen_1990/article/details/79074949
https://blog.51cto.com/407711169/1439623
https://www.cnblogs.com/yjd_hycf_space/p/7994597.html
(LDAP的相关概念与objectClass介绍)
https://blog.csdn.net/qq_27376871/article/details/52037317

北京小辉微信公众号

在这里插入图片描述

大数据资料分享请关注
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2731
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
小白篇()大数据Hue介绍使用
belialxing的专栏
11-08 1万+
我的原文地址: https://mp.weixin.qq.com/s?__biz=MzIxMzg5NzI4OQ==&mid=2247484076&idx=1&sn=99a18b1c04aca4b4388a6ca0e2a5b157&chksm=97ae9b8aa0d9129c555cd804138d8745782c53fe25c1fd7bb20715c7d54db95d956befee49d5&token=1189979899&lang=zh_CN#rd .
Hadoop配置LDAP集成Kerberos
a118170653的专栏
02-03 4965
本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。授权一般来说是由应用来决定的,通过在 LDAP 数据库中配置一些属性可以让应用程序来进行授权判断。 关于 Kerberos 的安装 HDFS 配置 kerberos 认证,请参考 HDFS配置kerberos认证。 参考 使
LDAP报错以及解决方法
信友科技-技术分享
05-19 7204
LDAP的报错很多,解决方法也不一样,现整理报错号提供一下解决方案,其他报错信息有待完善。
Hiveserver2的代理执行之路
Hello World
02-10 1万+
hiveserver2的代理访问可以使得平台端代理任意用户执行SQL操作就像该用户自己执行的操作一样(就像一个普通用户直接使用hive CLI执行操作),本文主要探索hiveserver2是如何使用代理的方式实现支持不同用户完成SQL操作,为修改impala支持对应的操作做铺垫。
Hue权限管理大揭秘】:打造安全的多用户Hadoop环境
本文全面概述了Hadoop权限管理的理论基础实践技巧,并着重介绍了Hadoop的安全机制、Kerberos认证原理以及Hue权限管理系统的架构与功能。通过对Hadoop安全框架组件的介绍、Kerberos认证流程的解析,以及Hadoop审计...
Zeppelin集成Ranger实现用户权限管控
u010543388的博客
07-30 2237
前言 一、架构说明 二、
FusionInsight HD大数据产品介绍.pdf
10-14
- **安全控制**:通过集成Kerberos、LDAP等技术,实现用户身份验证权限管理,确保数据安全。 - **性能优化**:华为团队对Hadoop、HBase等组件进行了深度优化,提升了系统整体性能稳定性,包括日志调优、基线...
CDH6.3.2 Hue界面实用技巧:数据分析与作业管理大师课
[CDH6.3.2 Hue界面实用技巧:数据分析与作业管理大师课](https://forum.makerforums.info/uploads/default/optimized/3X/5/9/59d08ce8e6b43e2b2e32172c02cfc3df3ddcc5fe_2_1024x366.jpeg) # 摘要 本文详细介绍了CDH...
大数据平台基础架构hadoop安全分析全集
程序猿
05-05 1701
摘要 分析hadoop现有安全技术架构,对hadoop框架组件的应用、结构进行分析,对现有的安全措施进行说明,分析分布式文件系统、MapReduce、kerberos、Hive、Hbase等相关组件的安全以及大数据平台网络访问、数据安全的机制,并总结研究hadoop的安全技术架构。 Hadoop安全现状 Hadoop安全漏洞 上图是列出的是Hadoop近年来的一些安全漏洞,接下来会...
CDH安装配置LDAP
huguoping830623的专栏
05-09 2986
安装OpenLDAP 安装机器:slave-04 1 安装openldap yum install -y openldap openldap-servers openldap-clients 2 修改配置文件  cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf  cp
CDH集成LDAP配置
qxf1374268的博客
02-13 5542
转载自JavaChen Blog,作者:JavaChen 原文链接地址:http://blog.javachen.com/2014/11/12/config-ldap-with-kerberos-in-cdh-hadoop.html 参考上面基本配置,添加了部分配置 本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LD...
常见LDAP错误
IT民工的简单生活
01-12 9687
LDAP_SUCCESS = 0 //成功LDAP_OPERATIONS_ERROR = 1 //操作错误LDAP_PROTOCOL_ERROR = 2 //协议错误LDAP_TIME_LIMIT_EXCEEDED = 3 //超过最大时间限制LDAP_SIZE_LIMIT_EXCEEDED = 4 //超过最大返回条目数LDAP_COMPARE_FALSE = 5 //比较不
Hue配置LDAP身份认证(Direct bind方式)
mnasd的博客
12-10 4804
Hue的身份认证方式 通过LDAP进行身份认证的方式 Search bind Direct bind 配置LDAP(Direct Bind with Username Pattern: DN string) 准备工作 修改hue.ini 也可以界面化操作 连接hive/impala 验证 重启Hue 可能出现的问题 [LDAP: error code 49 - Invali...
CDH 5.2中Impala认证集成LDAPKerberos
a118170653的专栏
02-03 2164
这是一篇翻译的文章,原文为 New in CDH 5.2: Impala Authentication with LDAP and Kerberos。由于翻译水平有限,难免会一些翻译不准确的地方,欢迎指正! Impala 认证现在可以通过 LDAP Kerberos 联合使用来解决。下文来解释为什么怎样解决。 Impala,是基于 Apache Hadoop 的一个开源的
ldap验证用户登录错误
weixin_34138255的博客
06-08 3107
2019独角兽企业重金招聘Python工程师标准>>> ...
Redis 3.2远程连接提示AUTH ERROR
热门推荐
royqiangyx的专栏
10-09 1万+
错误提示:(error) DENIED Redis is running in protected mode because protected mode is enabled, no bind address was specified, no authentication password is requested to clients. In this mode connections are
修复HUE任意LDAP用户登录为超级管理员的bug
data2tech的博客
09-22 678
欢迎关注微信公众号九万里大数据。 目录 背景说明 修复方法 源码分析 结合数据库分析 背景说明 CDH6.0.1自带的HUE版本是4.2 HUE4.2HUE4.3在使用LdapBackend时有个bug,会导致任意的LDAP用户登录,都是超级管理员。 在HUE4.4版本修复了这个bug。 https://issues.cloudera.org/browse/HUE-8675 https://review.cloudera.org/r/13556/ 欢..
CDH5-HUE环境下配置libxsltlibxml2方法
从给定文件信息中,我们可以提炼出几个重要的IT知识点,具体如下: ### libxslt与libxml2的安装方法 文件标题中的“libxslt-1.1.26.tar.gz”...这些知识点在数据处理、服务器安装大数据集群管理等领域都非常重要。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辉哥大数据

你的鼓舞将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值