设置Hadoop用户以便访问任何HDFS文件

最新推荐文章于 2024-04-28 21:45:00 发布
最新推荐文章于 2024-04-28 21:45:00 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: Hadoop生态技术体系
Hadoop分布式文件系统实现了一个和POSIX系统类似的文件和目录的权限模型。每个文件和目录有一个所有者(owner)和一个组(group)。文件或目录对其所有者、同组的其他用户以及所有其他用户分别有着不同的权限。对文件而言,当读取这个文件时需要有r权限,当写入或者追加到文件时需要有w权限。对目录而言,当列出目录内容时需要具有r权限,当新建或删除子文件或子目录时需要有w权限,当访问目录的子节点时需要有x权限。每个访问HDFS的用户进程的标识分为两个部分,分别是用户名和组名列表。每次用户进程访问一个文件或目录foo,HDFS都要对其进行权限检查:
  1、如果用户即foo的所有者,则检查所有者的访问权限;
  2、如果foo关联的组在组名列表中出现,则检查组用户的访问权限;
  3、否则检查foo其他用户的访问权限。

如果权限检查失败,则客户的操作会失败。所以如果我们以某个用户ls HDFS上某个文件夹时可能会出现以下的错误信息:
[AppleScript]  纯文本查看  复制代码
?
1
2
3
4
Caused by : org.apache.hadoop.ipc.RemoteException
( org.apache.hadoop.security.AccessControlException ) :
Permission denied : user = iteblog , access = EXECUTE ,
  inode = "/user/hadoop" : iteblog : iteblog : drwx ------


上面的iteblog用户试图访问HDFS上/user/hadoop目录下的文件,但是iteblog是属于iteblog组的,而/user/hadoop目录的权限是drwx------,也就是只有该文件夹所有者才能访问这个目录。仔细研究,我们可以找到这个用户获取模块是在UserGroupInformation类中获取的,部分代码如下:

[AppleScript]  纯文本查看  复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Principal user = null;
/ / if we are using kerberos , try it out
if ( isAuthenticationMethodEnabled ( AuthenticationMethod.KERBEROS ) ) {
   user = getCanonicalUser ( KerberosPrincipal. class ) ;
   if ( LOG.isDebugEnabled ( ) ) {
     LOG.debug ( "using kerberos user:" + user ) ;
   }
}
/ / If we don't have a kerberos user and security is disabled , check
/ / if user is specified in the environment or properties
if ( !isSecurityEnabled ( ) & & ( user = = null ) ) {
   String envUser = System.getenv ( HADOOP_USER_NAME ) ;
   if ( envUser = = null ) {
     envUser = System.getProperty ( HADOOP_USER_NAME ) ;
   }
   user = envUser = = null ? null : new User ( envUser ) ;
}
/ / use the OS user
if ( user = = null ) {
   user = getCanonicalUser ( OS_PRINCIPAL_CLASS ) ;
   if ( LOG.isDebugEnabled ( ) ) {
     LOG.debug ( "using local user:" + user ) ;
   }
}
/ / if we found the user , add our principal
if ( user ! = null ) {
   subject.getPrincipals ( ) . add ( new User ( user.getName ( ) ) ) ;
   return true ;
}
LOG. error ( "Can't find user in " + subject ) ;
throw new LoginException ( "Can't find user name" ) ;


从上面代码片段可以知道,Hadoop先判断集群是否启用了Kerberos授权,如果是,则直接从配置中获取用户(可以为空);如果不是,则往下走。然后判断是否启用了安全认证,安全认证是通过下面参数配置的:

[AppleScript]  纯文本查看  复制代码
?
1
2
3
4
< property >
   < name > hadoop.security.authentication < / name >
   < value > simple < / value >
< / property >


默认是不启用的。所以如果没有启用安全认证或者从Kerberos获取的用户为null,那么获取HADOOP_USER_NAME环境变量,并将它的值作为Hadoop执行用户。如果我们没有设置HADOOP_USER_NAME环境变量,那么程序将调用whoami来获取当前用户,并用groups来获取用户所在组。

根据上面的分析,我们有两个办法来解决用户访问HDFS失败的问题(这两个方法能够使用的前提都是没有启用安全认证):

1、我们可以在启动程序之前设置HADOOP_USER_NAME环境变量,比如:

[AppleScript]  纯文本查看  复制代码
?
1
[[ email ]iteblog@www.iteblog.com[ / email ] ~]$ export HADOOP_USER_NAME = iteblog


2、我们可以自定义whoami和groups命令,返回咱们需要的用户或者组。

只要Hadoop没有启用安全认证,我们想咋修改用户和用户所在组就咋修改,这样对存在HDFS上的文件来说是非常不利的
事实上,我们还可以加入以下代码来修改咱们需要的用户名:
[AppleScript]  纯文本查看  复制代码
?
1
2
3
4
5
6
7
val ugi = UserGroupInformation.createRemoteUser ( "iteblog" )
ugi.doAs ( new PrivilegedExceptionAction[Void] ( ) {
   def  run ( ) : Void = {
     / / something todo
     return null
   }
} )

当然,这个前提也是没有启用安全认证。

来源: http://www.iteblog.com/archives/160
数据文字工作者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop分布式文件系统HDFS介绍
01-30
单个文件一般在百MB级以上文件数目适中3、流式数据访问,最高效的访问模式是一次写入、多次读取HDFS适合用于处理批量,而不适合随机定位访问HDFS存储的数据集作为hadoop的分析对象。在数据集生成后,长时间在此数据...
HDFS权限管理、用户身份认证和数据访问授权、UGO权限管理、umask权限掩码、UGO权限相关命令、Web页面修改UGO权限
qq_40585384的博客
12-13 2506
作为分布式文件系统,HDFS也集成了一套兼容POSIX的权限管理系统。客户端在进行每次文件操时,系统会从**用户身份认证**和**数据访问授权**两个环节进行验证: 客户端的操作请求会首先通过本地的用户身份验证机制来获得“凭证”(类似于身份证书),然后系统根据此“凭证”分辨出合法的用户名,再据此查看该用户访问的数据是否已经授权。一旦这个流程中的某个环节出现异常,客户端的操作请求便会失败。
华为云单机版hadoop2.7.3及外网访问hdfs
gaodaojiang2015的博客
04-30 359
关闭防火墙 systemctl stop firewalld.service systemctl disable firewalld.service 配置ip映射 内网IP:192.168.x.xxx 公网IP:115.61.xx.xx vim /etc/hosts ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 127.0.0.1 localhost l
HTTP方式在线访问Hadoop HDFS上的文件解决方案
最新发布
Alex的博客
04-28 1721
为了通过HTTP方式在线访问HDFS上的文件,您可以利用WebHDFS REST API或者HttpFS Gateway这两种机制实现。 1:httpfs是cloudera公司提供的一个hadoop hdfs的一个http接口,通过WebHDFS REST API 可以对hdfs进行读写等访问2:与WebHDFS的区别是不需要客户端可以访问hadoop集群的每一个节点,通过httpfs可以访问放置在防火墙后面的hadoop集群3:httpfs是一个Web应用,部署在内嵌的tomcat中。
hadoop-3.1.2部署HDFS并保证集群外的节点可以访问HDFS
xiaocai_233的博客
04-21 1214
参考教程: https://hadoop.apache.org/docs/r3.0.0/hadoop-project-dist/hadoop-common/SingleCluster.html#Standalone_Operatio1.1 https://hadoop.apache.org/docs/r3.0.0/hadoop-hdfs-httpfs/index.html 1.install ha...
centos查看当前用户的命令
weixin_45441727的博客
09-29 1351
centos查看当前用户 users 列出用户 who 列出当前已登录用户 如果只希望累出用户使用该语句 who |cut -d ’ ’ -f1 |sort|uniq id -un 显示当前登入用户用户名称,以及当前使用的tty信息,且包括用户名,tty名,当前时间日期,当前用户使用的链接地址 ...
Hadoop安全认证
loser与你
08-26 1330
Hadoop安全认证  Hadoop中采用了SASL(Simple Authentication and Security Layer,简单层和安全层)进行安全认证,具体方法涉及DIGEST-MD5和Kerberos两种。 1.SASL  SASL是一种用来扩充C/S模式验证能力的认证机制,核心思想是把用户认证和安全传输从应用程序中隔离出来。  SASL支持多种认证方法,主要包括以下几种:  (1)ANONYMOUS:无须认证  (2)PLAIN:最简单但危险的机制,信息采用明文密码方式传输  (3)DIG
Hadoop1.2.1配置用户认证——simple类型
weixin_34306676的博客
08-03 549
2019独角兽企业重金招聘Python工程师标准>>> ...
Java访问Hadoop分布式文件系统HDFS的配置说明
09-02
总的来说,正确配置`core-site.xml`和`hdfs-site.xml`文件,以及在Java代码中设置正确的配置,是成功访问HDFS的关键步骤。理解这些配置项的含义和作用,有助于优化HDFS的性能和稳定性。在实际开发中,还需要注意安全...
HDFS.zip_Hadoop 平台_hadoop_hdfs
09-21
三、HDFS文件操作 在Hadoop平台上,我们可以通过Hadoop的命令行工具或者编程接口进行文件操作。以下是一些基本操作: 1. **上传文件**:`hadoop fs -put localfile hdfs://namenode:port/path`,将本地文件上传到...
hdfs_video_jar.zip_HDFS video_Hadoop 文件_hdfs_hdfs下MP4视频播放
09-24
Hadoop平台上打开和播放MP4文件并不像在本地文件系统上那么简单,因为HDFS不提供直接的流式访问支持。通常,我们需要通过Hadoop的API或特定的工具来实现。例如,可以使用`hadoop fs`命令行工具来查看和下载HDFS上...
深入理解HDFSHadoop分布式文件系统
02-24
由于NFS中,文件是存储在单机上,因此无法提供可靠性保证,当很多客户端同时访问NFSServer时,很容易造成服务器压力,造成性能瓶颈。另外如果要对NFS中的文件中进行操作,需要首先同步到本地,这些修改在同步到...
用户认证——安全模式下启动Hadoop集群
zhangzhagn_的博客
08-06 983
Kerberos集成hadoop,安全模式下启动Hadoop集群
Hadoop或hive用户名和本地主机用户名不一样,不能读写
z1987865446的博客
11-17 3211
解决Hadoop集群用户名和程序运行主机用户名不一样不能读写,配置了HADOOP_USER_NAME不生效的问题。
设置Hadoop的执行用户
liuwei0376的专栏
01-06 6820
一. 背景 在Hadoop集群中执行一些程序( 如Hive / MapReduce / Oozie )时, 如果没有根据集群hdfs的所属用户用户组, 做合理的设置的话, 则在读取或向HDFS写入数据的时候会报一些莫名其妙的权限错误. 二. 典型案例 向HDFS写xls数据文件,因权限问题报错 三. 问题根源 应用程序会尝试获取 ${HADOOP_USER_NAME}环境变量, 并将其作为Hadoop的默认执行用户; 而如果未获取到该变量, 则程序会调用系统的 whoami 命令来获取当前用户
如何控制 hadoop用户访问权限
h952520296的博客
08-11 4414
Hadoop 默认所有人均可访问操作,这个漏洞可以通过设置“安全访问参数”堵上。 2. 解决思路和方法 首先要设置 hadoop.security.authorization = true 开启ServiceLevel Authorization: 保存后,重启 hdfs 服务即可 还有,别指望用命令行来处理。。。CM 是个黑盒,很多配置都是直接从数据库读取(页面配置存入数据库而不是配置文件),然后动态生成配置文件分配给各个客户端使用的。 检测方式: 使用一个不在列表中的用户登陆服..
hdfs写数据无权限
weixin_33763244的博客
01-22 817
调用jar包把风电数据往hdfs写数据无权限问题 错误信息:hadoop.security.AccessControlException:Permission denied:user=gcl,access=write,inode:"":jeff:hive:-rw-r--r-- 首先想到的两个方法: 1、将hdfs-core.xml配置文件的dfs.permisssions参数修改为false 2、...
Spark学习中连接hdfs用户设置问题
Little_FF的博客
04-06 4628
Spark学习中连接hdfs用户设置问题 众所周知,连接hdfs时需要利用System.setProperty("HADOOP_USER_NAME", "hadoop")将本机的用户设置hadoop集群的用户名,我所使用的用户名是hadoop,但是程序运行时报错, Permission denied: user=littleff, access=WRITE, inode="/check":h...
在程序中指定Spark和Hadoop用户
JacksonKing的专栏
12-27 3403
Spark和Hadoop都被设计为多用户共享使用,每个用户程序都关联一个用户,Spark和Hadoop根据该用户授予用户程序对集群相关资源的访问权限。如果是强认证方式,每个用户程序关联的用户不可随意指定,而至少需要提供必要的认证信息(如密码);如果是弱认证方式,则可以在用户程序中指定关联用户,而不需要提供认证信息。Spark(0.8.0版本)使用的是弱认证方式,Hadoop可以配置使用强认证方式(...
大数据课程-Hadoop集群程序设计与开发-3.HDFS分布式文件系统_lk_edit.pptx
01-01
"大数据课程-Hadoop集群程序设计与开发-3.HDFS分布式文件系统_lk_edit.pptx" 本文档详细介绍了Hadoop集群程序设计与开发中的核心组件——HDFS(Hadoop Distributed File System)分布式文件系统。HDFS是大数据处理的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值