Sentry源码之HiveServer2鉴权过程

最新推荐文章于 2024-03-21 07:30:09 发布
最新推荐文章于 2024-03-21 07:30:09 发布
阅读量2.4k 收藏 4
点赞数 2
分类专栏: Java 文章标签: Sentry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012331758/article/details/79112276
版权

前言

Sentry是Hadoop生态中的一员,扮演着“守门人”的角色,看守着大数据平台的数据安全的访问。它以Plugin的形式运行于组件中,通过关系型数据库(PostgreSQL、MySQL)或本地文件来存取访问策略,对数据使用者提供细粒度的访问控制。本文试图在源码层剖析Sentry的鉴权过程,以帮助更好的理解权限的鉴定过程。博客地址Sentry源码之HiveServer2鉴权过程

Sentry架构简述

Sentry的设计目标是作为一层独立的访问控制层来对Hadoop组件(目前支持HDFS,Hive,Impala,solr,kafka,sqoop)进行授权/鉴权操作,因此它的耦合度很低,以插件的形式工作于组件之上。可以把它看作Java web中的filter,当用户请求过来的时候,sentry截获了用户的信息,对用户的权限进行验证,如果成功,则让该请求通过;否则,抛出异常,阻断该请求。

Sentry是一个分层的结构,如下图所示

  • Binding层 负责将用户对Hadoop组件的访问请求截获,并解析出其中的用户信息,以便进行鉴权
  • Provider层 是一个较通用的权限策略验证层,在这里抽象了权限对象,并对用户所具备的权限对象进行验证
  • Policy Metadata Store 负责与策略的存储和读取,目前支持文件存储和关系型数据库存储方式。

由上图结合源码分析,Sentry的大致工作流程为:
1. Binding层拦截用户的访问,并将用户信息解析出来,暂存到一个subject对象中
2. Policy Metadata Store层根据用户访问的资源对象(表名)和用户信息(subject)从底层存储(文件或关系型数据库)中读取两个权限对象列表:requireList(需要有的权限)和obtainList(用户当前的权限)
3. Policy Engine根据读取到的两个权限对象列表,逐一进行权限的比对,缺少任何一个权限都要抛出异常,只有当完全满足时,将此访问请求通过

源码分析

下面以HiveServer2为例,分析Sentry是如何进行鉴权工作的,以此为切入点,剖析Sentry的通用鉴权模型。上面提到,Sentry的鉴权过程中主要分为了Binding、Policy Engine和Policy MetadataStore三层的协作,下面逐一进行分析。

Binding

上面谈到Binding的主要工作是解析用户信息,那么Sentry是如何截获用户对Hadoop组件的请求的呢?拿HiveServer2为例,用户在连接的时候,会由HiveServer2创建一个session,该session中保存了用户的用户名等信息,该session在该用户的整个TCP连接中都会保留,因此如果可以获得该session,便可以获得用户名。

HiveServer2中提供了一个方便的接口叫作HiveSessionHook,其中只有一个run方法,在session manager创建一个session的时候,会进行调用。这是一个Hive提供的hook机制,方便进行自定义的hook动作,Sentry使用了这个Hook,定义了一个HiveAuthzBindingSessionHookV2类实现了HiveSessionHook接口,重写了其中的run方法。代码如下:

  @Override
  public void run(HiveSessionHookContext sessionHookContext) throws HiveSQLException {
    // Add sentry hooks to the session configuration
    HiveConf sessionConf = sessionHookContext.getSessionConf();

    appendConfVar(sessionConf, ConfVars.SEMANTIC_ANALYZER_HOOK.varname, SEMANTIC_HOOK);
    // enable sentry authorization V2
    sessionConf.setBoolean(HiveConf.ConfVars.HIVE_AUTHORIZATION_ENABLED.varname, true);
    sessionConf.setBoolean(HiveConf.ConfVars.HIVE_SERVER2_ENABLE_DOAS.varname, false);
    sessionConf.set(HiveConf.ConfVars.HIVE_AUTHENTICATOR_MANAGER.varname,
        "org.apache.hadoop.hive.ql.security.SessionStateUserAuthenticator");

    // grant all privileges for table to its owner
    sessionConf.setVar(ConfVars.HIVE_AUTHORIZATION_TABLE_OWNER_GRANTS, "");

    // Enable compiler to capture transform URI referred in the query
    sessionConf.setBoolVar(ConfVars.HIVE_CAPTURE_TRANSFORM_ENTITY, true);

    // set security command list
    HiveAuthzConf authzConf = HiveAuthzBindingHookBaseV2.loadAuthzConf(sessionConf);
    String commandWhitelist =
        authzConf.get(HiveAuthzConf.HIVE_SENTRY_SECURITY_COMMAND_WHITELIST,
            HiveAuthzConf.HIVE_SENTRY_SECURITY_COMMAND_WHITELIST_DEFAULT);
    sessionConf.setVar(ConfVars.HIVE_SECURITY_COMMAND_WHITELIST, commandWhitelist);

    // set additional configuration properties required for auth
    sessionConf.setVar(ConfVars.SCRATCHDIRPERMISSION, SCRATCH_DIR_PERMISSIONS);

    // setup restrict list
    sessionConf.addToRestrictList(ACCESS_RESTRICT_LIST);

    // set user name
    sessionConf.set(HiveAuthzConf.HIVE_ACCESS_SUBJECT_NAME, sessionHookContext.getSessionUser());
    sessionConf.set(HiveAuthzConf.HIVE_S
最低0.47元/天 解锁文章
zaixiandemiao
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hive表级权限控制_Hive权限管理
weixin_39999222的博客
12-23 739
一.Storage Based Authorization in the Metastore Server>基于存储的授权,可以对Metastore中的元数据进行保护,但是没有提供更加细粒度的访问控制【例如:列级别、行级别等】。>启用当前认证方式后,dfs,add,delete,compile,reset等命令被禁用。>通过set命令设置hive configuration的方式...
错误监控——sentry源码
riddle1981的博客
09-15 859
sentry-javascript为语言包,在该语言包下包含各项平台包。
sentry源码阅读
09-04
sentry源码阅读 sentry 在flask 中和在 在celery 中初始化方式为 什么不一样
hive权限控制(二)
道听途说
03-31 1440
Hive支持的权限有Users,Groups,Roles 一个角色可以包含组或者用户 By default, the Metastore uses the HadoopDefaultAuthenticator for determing user -> group mappings metastore默认会以metastore所在的机器根据用户名获取用户所属的组,而不是客户端的组
sentry-1.6.0源码
08-25
sentry-1.6.0源码包,里面的README描述怎么使用mvn打包编译包
Sentry(Android)源码解析
SOHU_TECH的博客
03-21 1467
本文字数:16030字预计阅读时间:40分钟01前言Sentry是一个日志记录、错误上报、性能监控的开源框架,支持众多平台:其使用方式在本文不进行说明了,大家可参照官方文档:https://docs.sentry.io/platforms/android/?original_referrer=https%3A%2F%2Fsentry.io%2F目前大部分免费的三方APM平台限制较多,好用的又收...
magento2-sentry:Magento 2模块登录哨兵
05-16
安装composer require justbetter/magento2-sentry bin/magento module:enable JustBetter_Sentry bin/magento setup:upgrade bin/magento setup:di:compile bin/magento setup:static-content:deploy配置该模块将...
vue项目前端错误收集之sentry教程详解
12-09
sentry简介 Sentry 是一个开源的错误追踪工具,可以帮助开发人员实时监控和修复系统中的错误。其专注于错误监控以及提取一切事后处理所需的信息;支持几乎所有主流开发语言( JS/Java/Python/php )和平台, 并提供了web...
Sentry 授权
qq_39841823的博客
02-26 503
趁我未失忆之前,记录过去曾经的自己 文章目录前言一、架构概述?1.Sentry 组件2.主要概念3.User身份和Group映射4.基于roles的访问控制5.统一授权二、Sentry与Hadoop生态系统的集成1.Hive and Sentry2.Impala and Sentry2.Sentry-HDFS同步2.读入数据总结 前言 sentry是Hadoop的基于角色的进行授权,Sentry为Hadoop集群上经过身份验证的用户和应用程序提供了控制和实施数据权限分级的功能。Sentry可以与Apach
学习 sentry 源码架构,打造属于自己的前端异常监控平台
画漫画的程序员∙苏南
03-19 926
点击上方“IT平头哥联盟”,选择“置顶或者星标”你的关注意义重大!前言这是学习源码整体架构第四篇。整体架构这词语好像有点大,姑且就算是源码整体结构吧,主要就是学习是代码整体结构,不深究其他...
sentry-demo
03-21
岗哨演示
hiveserver2详解
热门推荐
happy19870612's blog
11-19 1万+
HiveServer2概览 HiveServer2是一个能使客户端针对hive执行查询的一种服务,与HiverServer1比较,它能够支持多个客户端的并发请求和授权的; HiveCLI 和 hive –e的方式比较单一,HS2允许远程客户端使用多种语言诸如Java,Python等向Hive提交请求,然后取回结果   HS2对于TCP 模式使用TThreadPoolServer,对于H
学习 sentry 源码整体架构,打造属于自己的前端异常监控SDK
u012384510的博客
11-01 1271
前言这是学习源码整体架构第四篇。整体架构这词语好像有点大,姑且就算是源码整体结构吧,主要就是学习是代码整体结构,不深究其他不是主线的具体函数的实现。文章学习的是打包整合后的代码,不是实际...
hiveserver2+kerberos+sentry多用户权限管理
GJLNANATA的博客
10-09 1153
1 kerberos配置 1.1 kerberos新建principal 1.2 导出对应的keytab文件 2 Sentry设置 2.1 用hiveserver2服务对应的tgt连接beeline 2.2 创建role 2.3 授权role 2.4 把role赋给用户组 3 连接 3.1 Beeline连接 3.1.1 初始化tgt 3.1.2 Beeline连接 这里的 pri...
HiveServer2 源码分析
wayblink的博客
06-17 1211
1.启动脚本 HIVEHOME/bin/hive−−servicehiveserver2−−>HIVEHOME/bin/hive−−servicehiveserver2−−>HIVE_HOME/bin/hive --service hiveserver2 --> HIVE_HOME/bin/ ext/hiveserver2.sh –> 可以看到入口类和 org.apache...
Hive架构简述及工作原理
qq_48363187的博客
10-15 3853
Hive是基于Hadoop的一个数据仓库管理工具,可以将结构化的数据文件映射为一张数据库表,并提供类SQL(HQL)查询功能。本质是将SQL转换为MapReduce程序(默认)。直接使用Hadoop MapReduce处理数据所面临的问题: 学习成本高,MapReduce实现复杂查询功能开发难度大,使用Hive接口采用类SQL语法,提供快速开发的能力避免了去写MapReduce,减少开发人员的学习成本功能。
关于Hive的授权研究
weixin_45076240的博客
10-15 728
关于Hive的授权研究 因为最近在学习hive的相关知识,就把最近看的一些资料总结了以下,使用的hive是3.1.2版本,应该是比较新的,所以如果文章有不对的地方,希望大佬指正。 Hive的权限控制 简介: Hive的真实数据存储在Hadoop的HDFS文件系统中,Hive构建逻辑表。 Hive的元数据存储在Mysql当中。 Hive有默认的Derby数据库,由于是内嵌的文件数据库,只支持一个用户的操作访问,支持多用户需用mysql保存元数据。并且存在找不到原有创建的数据库和表的信息,所以会将默认的Der
基于LDAP和Sentry的大数据认证和鉴权解决方案--Part Two:Sentry集成
u014728303的博客
12-28 8177
上一篇文章中,介绍了LDAP和HUE,Impala以及Hive的集成来完成了用户认证的工作,接下来我们聊一下如何使用Sentry来实现对数据的授权管理。 Sentry一旦和Hive集成,就会接管Hive的Metadata,也就是说。如果没有集成SentryHive的metadata是存放在Hive自己的metadata数据库中的,但一旦和Sentry整合,这些metadata信息就会保
实现hive proxy4-scratch目录权限问题解决
weixin_33964094的博客
12-14 139
hive在hdfs中的job中间文件是根据当前登陆用户产生的,其默认值为/tmp/hive-${user.name},这就导致实现proxy的功能时会遇到临时文件的权限问题,比如在实现了proxy功能后,以超级用户hdfs proxy到普通用户user时,在hdfs中的临时文件在/tmp/hive-user目录中,而目录的属主是hdfs,这时再以普通用户user运行jo...
sentry2tosse
最新发布
04-25
sentry2tosse是一个开源的日志收集和错误监控工具,它可以帮助开发者实时监控应用程序的错误和异常,并提供详细的错误信息和堆栈跟踪,以便快速定位和解决问题。sentry2tosse支持多种编程语言和框架,包括Java、Python、JavaScript等,可以轻松集成到各种应用中。 sentry2tosse的主要特点包括: 1. 实时监控:sentry2tosse可以实时收集应用程序的错误和异常信息,并及时通知开发者。 2. 错误定位:sentry2tosse提供详细的错误信息和堆栈跟踪,帮助开发者快速定位问题所在。 3. 多语言支持:sentry2tosse支持多种编程语言和框架,适用于各种类型的应用程序。 4. 可扩展性:sentry2tosse提供了丰富的插件和API,可以根据需要进行扩展和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值