sentry 命令_在CDH6使用Sentry为Solr7进行赋权

最新推荐文章于 2021-03-05 19:10:45 发布
最新推荐文章于 2021-03-05 19:10:45 发布
阅读量155 收藏 1
点赞数
文章标签: sentry 命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33609486/article/details/112278556
版权

文档编写目的

在CDH中,Sentry服务是一个基于角色授权的管理组件,通常我们将Sentry用来管理Hive、Impala等组件,但是同样的,Sentry也可以为Solr提供基于角色的细粒度授权,在启用Sentry后,可以对各种操作进行权限上的限制,无论对数据的访问是来自命令行、浏览器还是Hue,都会基于授予的角色拥有的权限来进行管理和限制。要注意的是,启用Sentry对Solr进行权限控制前需要先启用Kerberos,本文档将介绍如何使用Sentry对Solr进行赋权。

  • 测试环境:

1.CM和CDH版本为6.2.0

2.Solr版本为7.4

3.集群启用Sentry

4.集群启用Kerberos

5.操作系统版本为RedHat7.2

Solr集成Sentry

在Solr中进行相关的配置,勾选Sentry服务,与Solr集成。用户组和映射类选择Hadoop的用户组,不建议选择本地组

fd02d4afa2820293dd95eda7ab6df3cc.png

在Solr中选择安全身份验证为Kerberos,由于集群已经启用了Kerberos,这里直接勾选Kerberos

1669fdcc631f7f141e1efdd2acfc23bd.png

将配置保存后,重启Solr服务,完成Solr与Sentry的集成

d63ab01a1ad4a43f0203c30d8ef88049.png

使用Sentry对Solr进行赋权

本文档主要介绍如何使用Sentry对Solr中的Collection进行权限管理,对于Collection的权限有三种:QUERY、UPDATE、 *,QUERY提供读的访问权限,UPDATE提供写访问权限,通配符*表示所有权限,在授权时,同样可以使用collection=*的方式来授予角色所有collection 的相应权限。在Solr中使用Sentry来赋权,与其他组件一致,是将权限赋予角色,然后将角色授予相应的用户组,让用户组下的用户能够执行相应的权限,下面在Sentry中以命令行的方式对Solr进行赋权。

3.1 对Solr进行赋权的前置准备

1.准备好测试文件,一个10行数据的csv文件

a5d187323b24eb7334fb3fe2377bc1ba.png

2.准备好创建Collection所需要的schema.xml配置文件,对每个字段进行一一对应的配置

<?xml version="1.0" encoding="UTF-8" ?>s1
05d93ac27660e05ef98791d5bcb2e8bf.png

3.准备好创建Collection的脚本,在脚本中,标注的那两行操作是将solrconfig.xml.secure这一配置文件替换掉原本的schema.xml,因为在启用Sentry的Solr中,必须要使用solrconfig.xml.secure这个配置文件才能让Sentry的权限管理生效

#!/bin/shZK="cdh178.macro.com"COLLECTION="collection0731"BASE=`pwd`SHARD=3REPLICA=1echo "create solr collection"rm -rf tmp/*solrctl --zk $ZK:2181/solr instancedir --generate tmp/${COLLECTION}_configsmv tmp/${COLLECTION}_configs/conf/solrconfig.xml tmp/${COLLECTION}_configs/conf/solrconfig.xml.bkmv tmp/${COLLECTION}_configs/conf/solrconfig.xml.secure tmp/${COLLECTION}_configs/conf/solrconfig.xmlcp conf/schema.xml tmp/${COLLECTION}_configs/conf/solrctl --zk $ZK:2181/solr instancedir --create $COLLECTION tmp/${COLLECTION}_configssolrctl --zk $ZK:2181/solr collection --create $COLLECTION -s $SHARD -r $REPLICAsolrctl --zk $ZK:2181/solr collection --list
796b2d84887a5280d9db3f7d5829abf6.png

4.创建Collection,这一步操作需要使用solr系统用户登录Kerberos来完成

使用solr系统用户登陆Kerberos

88a83ad0271ecf4e48ea9c8a7199595d.png

执行脚本创建Collection,collection0731创建成功

a5d5735785efba00c8f4471d0a5adc50.png

5.将准备的csv数据文件导入到Solr中,这一步同样需要solr系统用户来完成

使用solr用户登陆Kerberos

0c801f00c76e487a9abecc2934f2d047.png

导入csv数据文件

curl --negotiate -u : 'http://cdh178.macro.com:8983/solr/collection0731/update/csv?commit=true' -H 'Content-Type: application/csv' --data-binary @/root/test0726/data.csv
a07d0d6c0698cad347ef1f28b3b8a098.png

查看数据导入是否成功

curl --negotiate -u : "http://cdh178.macro.com:8983/solr/collection0731/query?q=*%3A*&wt=json&indent=true"
69c83ab7e40396b502194c6884cfbae4.png

至此,Collection创建成功,csv数据文件也导入成功,下面用Sentry对Solr进行赋权

3.2 使用Sentry对Solr进行赋权

先创建一个admin角色,并赋予所有权限,然后将admin角色授予solr用户组,该操作需要使用solr系统用户登陆Kerberos来完成

b2e29202ad6e3b83228b339642839477.png

创建角色admin并赋权然后给到solr用户组

solrctl sentry --create-role adminsolrctl sentry --add-role-group admin solrsolrctl sentry --grant-privilege admin 'collection=*->action=*'solrctl sentry --grant-privilege admin 'config=*->action=*'
25825a057aa74a61e219c7d41f451778.png

查看角色admin的权限

solrctl sentry --list-privileges admin
88907fbc9ee3b99da1ea3fee537cb32e.png

下面对test用户进行权限测试

1.使用test用户登陆Kerberos,此时未使用Sentry对test用户组进行授权

f1b3d4f6d8c490827f612a6c4af5c873.png

2.使用未授予任何权限的test用户来查看之前创建的Collection

curl --negotiate -u : "http://cdh178.macro.com:8983/solr/collection0731/query?q=*%3A*&wt=json&indent=true"
35356598fa0d2ace335a9c4109b673ba.png

由上图可以看出,test用户并没有查看Collection的权限

3.使用未授予任何权限的test用户来对之前创建的Collection进行更新操作

curl --negotiate -u : 'http://cdh178.macro.com:8983/solr/collection0731/update' > -H 'Content-Type: application/json' > -d '[{"s1":"11
Keylove(穆文成)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sentry权限赋权示例
sharkdoodoo
09-18 2407
连接sentry 使用beeline [root@host1 ~]# beeline -u "jdbc:hive2://host1:10000/" -n hive -p hive -d org.apache.hive.jdbc.HiveDriver Connecting to jdbc:hive2://host1:10000/ Connected to: Apache Hive (versio...
0493-如何在Sentry使用WITH GRANT OPTION命令
Hadoop_SC的博客
01-12 302
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1 文档编写目的 在使用Sentry进行Hive表的权限管理时,在超级管理员下还划分有不同库和表的管理员用户,这个时候拥有这些库的授权权限的角色就可以将这些库和表授...
Apache Sentry架构介绍
weixin_33709364的博客
04-08 1011
介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 特性...
Kerberos技术实践V1.0
super_chenzhou
08-07 726
Kerberos技术实践
Sentry授权的组(GROUP)来源
qq_39841823的博客
03-05 1147
趁我未失忆之前,记录过去曾经的自己 文章目录前言一、Sentry 特性二、Hadoop用户组映射实施1.CM介面设定2.Hadoop用户到组的映射总结 前言 在设定sentry 授权时, 发现错误指令Error: Error while compiling statement: FAILED: SemanticException Sentry does not allow privileges to be granted/revoked to/from: USER 。且总觉得要用户要存在在集群的每个节点
基于 Sentry Hive 权限控制命令详解
jast
08-11 6226
Sentry不支持Hive CLI列权限管理,建议禁用Hive CLI。 (也不支持SparkSql列权限管理) #权限分为 SELECT ,INSERT ,ALL #查看所有role show roles; #创建role create role role_name; #删除role drop role role_name; #将某个数据库读权限授予给某个role GRAN...
sentry-cli:与Sentry一起使用命令行实用程序
01-30
推荐的安装方式是使用大家最喜欢的curl进行打击: curl -sL https://sentry.io/get-cli/ | bash 节点 另外,您还可以通过npm安装此二进制文件: npm install @sentry/cli 全局安装时,请确保设置了。 如果这在您的...
大数据技术之CM6.3.1+CDH6.3.2配置Hue+Sentry权限管理.pdf
11-23
Sentry可以与Apache Hive,Hive Metastore/HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)一起使用Sentry旨在成为Hadoop组件的可插拔授权引擎。它允许自定义授权规则以验证用户或应用程序对Hadoop...
Sentry8_Setup安装前必读
04-25
Sentry8_Setup.exe 安装前必读 争取点分数下载东西
Sentry_Setup
09-27
Sentry_Setup
sentry 权限简介
05-18
sentry 授权 hadoop设置 控制数据访问 Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。
saas-export项目-RBAC权限模型
weixin_46335487的博客
11-01 270
RBAC权限模型引入 (1)如何设计用户权限 普通的用户权限设计 三个表搞定(用户表,权限表,用户权限表) (2)有什么特点? 》1 租户增加,选成会大量的冗余数据! 》2 添加或者删除权限不方便 建议使用RBAC权限模型 RBAC权限模型介绍 (1)什么是RBAC权限模型? RBAC 是基于角色的访问控制(Role-Based Access Control ) (2)RBAC权限模型有什么特点? 》》1 先给角色设置权限 》》2 再给用户分配角色 》》3 最后用户得到这些角色的权限 》》
CDH配置Sentry以及权限测试
热门推荐
qq_30982323的博客
06-15 1万+
在CDH中添加完Sentry服务后,需要更改一下hive配置才能通过beeline访问。 第一,修改Hive下的HiveServer2配置,如下所示: 将HiveServer2 Load Balancer中的admin去掉和HiveServer2 启用模拟的√去掉。 这里的admin是默认的,跟前面配置有关,之前没有去掉直接导致beeline连接不上。更改后如下: 第二,将Hive...
CDH-Kerberos环境下Kafka集成Sentry进行权限管理
虾哔哔的博客
11-01 3496
1.文档编写目的 Sentry在CDH平台中定位为统一的授权框架,即所有的组件都要受Sentry的管理,当然也是为了方便用户的操作,一个入口为所有数据相关进行授权。Fayson在前面的文章中介绍了大量Sentry与Hive/Impala的集成文章,其实Sentry除了可以给Hive/Impala表授权外,还可以管理HDFS ACL,Kafka,Solr,Kudu等。前两天Fayson也介绍过如...
CDH安全之Sentry权限管理
Java_Road_Far的博客
05-21 3660
文章目录一、Sentry概述1.1 Sentry是什么1.2 Sentry中的角色二、Sentry安装部署三、Sentry与Hive/Impala集成3.1 修改配置参数3.2 配置Hive使用Sentry3.3 配置Impala使用Sentry3.4 配置HDFS权限与Sentry同步四、Sentry 授权4.1 基于 Hue4.2 基于 命令行 一、Sentry概述 cdh 版本的 hadoop 在对数据安全上的处理通常采用 Kerberos+Sentry 的结构。 kerberos 主要负责平台用户
Cloudera Manager CDH Sentry 授权
跟着大数据和AI去旅行
01-25 4880
一、Sentry CDH配置 安装Sentry 使用Cloudera Manager来安装,非常简单,需要注意的是安装前要在/opt/cloudera/parcels/CDH/jars目录下放入MySQL的驱动包。 添加服务 –> Sentry Sentry Database Create: #为Sentry建数据库sentry mysql>create datab
CDH配置sentry并测试权限
阿正的博客
04-05 885
在CDH未启用认证的情况下安装及使用Sentryhttps://www.jianshu.com/p/b0678b02dd0b https://blog.csdn.net/u014728303/article/details/53911918基于LDAP和Sentry的大数据认证和鉴权解决方案--Part Two:Sentry集成 CDH基于Kerberos身份认证和基于Sentry的权限控...
CDH5.15 Kerberos+Sentry在CentOS 6.5中的启用教程
本文档是一份详细的指南,介绍了如何在CentOS 6.5环境中设置和配置CDH 5.15以支持Kerberos和Sentry安全机制。该过程分为几个关键步骤,确保了平台的安全性和认证/授权流程的正确实施。 首先,从安装KDC服务开始,即...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值