测试Hive集成Sentry

最新推荐文章于 2022-03-01 17:34:05 发布
最新推荐文章于 2022-03-01 17:34:05 发布
阅读量312 收藏 1
点赞数
文章标签: 大数据 数据库 移动开发
原文链接:https://yq.aliyun.com/articles/25473
版权

本文在安装和配置Sentry基础之上测试Hive集成Sentry。注意:这里Hive中并没有配置Kerberos认证

关于配置了Kerberos的Hive集群如何集成Sentry,请参考配置安全的Hive集群集成Sentry

1. 配置Sentry

安装和配置Sentry

2. 配置Hive

Hive Metastore集成Sentry

需要在 /etc/hive/conf/hive-site.xml中添加:

    <property>
      <name>hive.metastore.pre.event.listeners</name>
      <value>org.apache.sentry.binding.metastore.MetastoreAuthzBinding</value>
    </property>
    <property>
      <name>hive.metastore.event.listeners</name>
      <value>org.apache.sentry.binding.metastore.SentryMetastorePostEventListener</value>
    </property>

Hive-server2集成Sentry

修改 /etc/hive/conf/hive-site.xml,添加以下内容:

    <property>
      <name>hive.server2.enable.impersonation</name>
      <value>true</value>
    </property>
    <property>
        <name>hive.security.authorization.task.factory</name>
        <value>org.apache.sentry.binding.hive.SentryHiveAuthorizationTaskFactoryImpl</value>
    </property>
    <property>
        <name>hive.server2.session.hook</name>
        <value>org.apache.sentry.binding.hive.HiveAuthzBindingSessionHook</value>
    </property>
    <property>
        <name>hive.sentry.conf.url</name>
        <value>file:///etc/hive/conf/sentry-site.xml</value>
    </property>

参考模板sentry-site.xml.hive-client.template在 /etc/hive/conf/ 目录创建 sentry-site.xml:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <property>
       <name>sentry.service.client.server.rpc-port</name>
       <value>8038</value>
    </property>
    <property>
       <name>sentry.service.client.server.rpc-address</name>
       <value>cdh1</value>
    </property>
    <property>
       <name>sentry.service.client.server.rpc-connection-timeout</name>
       <value>200000</value>
    </property>

    <!--以下是客户端配置-->
    <property>
        <name>sentry.provider</name>
        <value>org.apache.sentry.provider.file.HadoopGroupResourceAuthorizationProvider</value>
    </property>
    <property>
        <name>sentry.hive.provider.backend</name>
        <value>org.apache.sentry.provider.db.SimpleDBProviderBackend</value>
    </property>
    <property>
        <name>sentry.metastore.service.users</name>
        <value>hive</value><!--queries made by hive user (beeline) skip meta store check-->
    </property>
      <property>
        <name>sentry.hive.server</name>
        <value>server1</value>
      </property>
     <property>
        <name>sentry.hive.testing.mode</name>
        <value>true</value>
     </property>
</configuration>

3. 重启Hive

在cdh1上启动或重启hiveserver2:

$ /etc/init.d/hive-server2 restart

4. 准备测试数据

参考 Securing Impala for analysts,准备测试数据:

$ cat /tmp/events.csv
10.1.2.3,US,android,createNote
10.200.88.99,FR,windows,updateNote
10.1.2.3,US,android,updateNote
10.200.88.77,FR,ios,createNote
10.1.4.5,US,windows,updateTag

然后,在hive中运行下面 sql 语句:

create database sensitive;

create table sensitive.events (
    ip STRING, country STRING, client STRING, action STRING
  ) ROW FORMAT DELIMITED FIELDS TERMINATED BY ',';

load data local inpath '/tmp/events.csv' overwrite into table sensitive.events;
create database filtered;
create view filtered.events as select country, client, action from sensitive.events;
create view filtered.events_usonly as select * from filtered.events where country = 'US';

在 cdh1上通过 beeline 连接 hiveserver2,运行下面命令创建角色和组:

# 注意:我设置了hiveserver2的jdbc端口为10001
$  beeline -u "jdbc:hive2://cdh1:10001/" -n hive -p hive -d org.apache.hive.jdbc.HiveDriver

执行下面的 sql 语句创建 role、group等:

create role admin_role;
GRANT ALL ON SERVER server1 TO ROLE admin_role;
GRANT ROLE admin_role TO GROUP admin;
GRANT ROLE admin_role TO GROUP hive;

create role test_role;
GRANT ALL ON DATABASE filtered TO ROLE test_role;
GRANT ROLE test_role TO GROUP test;

上面创建了两个角色:

  • admin_role,具有管理员权限,可以读写所有数据库,并授权给 admin 和 hive 组(对应操作系统上的组)
  • test_role,只能读写 filtered 数据库,并授权给 test 组。

因为系统上没有test用户和组,所以需要手动创建:

$ useradd test

5. 测试

测试admin_role角色

使用hive用户访问beeline:

$ beeline -u "jdbc:hive2://cdh1:10000/" -n hive -p hive -d org.apache.hive.jdbc.HiveDriver

查看当前系统用户是谁:

0: jdbc:hive2://cdh1:10000/> set system:user.name;
+------------------------+--+
|          set           |
+------------------------+--+
| system:user.name=hive  |
+------------------------+--+
1 row selected (0.188 seconds)

hive属于admin_role组,具有管理员权限,可以查看所有角色:

0: jdbc:hive2://cdh1:10000/> show roles;
+-------------+--+
|    role     |
+-------------+--+
| test_role   |
| admin_role  |
+-------------+--+
2 rows selected (0.199 seconds)

查看所有权限:

0: jdbc:hive2://cdh1:10000/> SHOW GRANT ROLE test_role;
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+---------------+
| database  | table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  | grant_time | 
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+---------------+
| filtered   |        |            |         | test_role       | ROLE            | *          | false       | 1430293474047000  | 
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+---------------+

0: jdbc:hive2://cdh1:10000/> SHOW GRANT ROLE admin_role;
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+---------------+
| database  | table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  | grant_time  | 
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+---------------+
| *         |        |            |         | admin_role      | ROLE            | *          | false       | 1430293473308000  
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+---------------+
1 row selected (0.16 seconds)

hive用户可以查看所有数据库、访问所有表:

0: jdbc:hive2://cdh1:10000/> show databases;
+----------------+--+
| database_name  |
+----------------+--+
| default        |
| filtered       |
| sensitive      |
+----------------+--+
3 rows selected (0.391 seconds)
0: jdbc:hive2://cdh1:10000/> use filtered;
No rows affected (0.101 seconds)
0: jdbc:hive2://cdh1:10000/> select * from filtered.events;
+-----------------+----------------+----------------+--+
| events.country  | events.client  | events.action  |
+-----------------+----------------+----------------+--+
| US              | android        | createNote     |
| FR              | windows        | updateNote     |
| US              | android        | updateNote     |
| FR              | ios            | createNote     |
| US              | windows        | updateTag      |
+-----------------+----------------+----------------+--+
5 rows selected (0.431 seconds)
0: jdbc:hive2://cdh1:10000/> select * from sensitive.events;
+---------------+-----------------+----------------+----------------+--+
|   events.ip   | events.country  | events.client  | events.action  |
+---------------+-----------------+----------------+----------------+--+
| 10.1.2.3      | US              | android        | createNote     |
| 10.200.88.99  | FR              | windows        | updateNote     |
| 10.1.2.3      | US              | android        | updateNote     |
| 10.200.88.77  | FR              | ios            | createNote     |
| 10.1.4.5      | US              | windows        | updateTag      |
+---------------+-----------------+----------------+----------------+--+
5 rows selected (0.247 seconds)

测试test_role角色

使用test用户访问beeline:

$ beeline -u "jdbc:hive2://cdh1:10000/" -n test -p test -d org.apache.hive.jdbc.HiveDriver

查看当前系统用户是谁:

0: jdbc:hive2://cdh1:10000/> set system:user.name;
+------------------------+--+
|          set           |
+------------------------+--+
| system:user.name=hive  |
+------------------------+--+
1 row selected (0.188 seconds)

test用户不是管理员,是不能查看所有角色的:

0: jdbc:hive2://cdh1:10000/> show roles;
ERROR : Error processing Sentry command: Access denied to test. Server Stacktrace: org.apache.sentry.provider.db.SentryAccessDeniedException: Access denied to test

test用户可以列出所有数据库:

0: jdbc:hive2://cdh1:10000/> show databases;
+----------------+--+
| database_name  |
+----------------+--+
| default        |
| filtered       |
| sensitive      |
+----------------+--+
3 rows selected (0.079 seconds)

test用户可以filtered库:

0: jdbc:hive2://cdh1:10000/> use filtered;
No rows affected (0.206 seconds)
0: jdbc:hive2://cdh1:10000/> select * from events;
+-----------------+----------------+----------------+--+
| events.country  | events.client  | events.action  |
+-----------------+----------------+----------------+--+
| US              | android        | createNote     |
| FR              | windows        | updateNote     |
| US              | android        | updateNote     |
| FR              | ios            | createNote     |
| US              | windows        | updateTag      |
+-----------------+----------------+----------------+--+
5 rows selected (0.361 seconds)

但是,test用户没有权限访问sensitive库:

0: jdbc:hive2://cdh1:10000/> use sensitive;
Error: Error while compiling statement: FAILED: SemanticException No valid privileges
 Required privileges for this query: Server=server1->Db=sensitive->Table=*->action=insert;Server=server1->Db=sensitive->Table=*->action=select; (state=42000,code=40000)

6. 排错

在CDH5的高版本中,hive cli 不建议使用,在hive集成sentry之后,再运行hive cli 会提示找不到sentry的类的遗产,解决办法是,将sentry相关的jar包链接到hive的home目录下的lib目录下:

ln -s /usr/lib/sentry/lib/sentry-binding-hive.jar /usr/lib/hive/lib/
ln -s /usr/lib/sentry/lib/sentry-core-common.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-core-common-db.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-policy-common.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-policy-db.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-policy-cache.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-provider-common.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-provider-db.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-provider-cache.jar /usr/lib/hive/lib
ln -s /usr/lib/sentry/lib/sentry-provider-file.jar /usr/lib/hive/lib
weixin_33753003
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决:org.springframework.security.access.AccessDeniedException: Access is denied
东天里的冬天
06-30 6万+
最近在使用SpringSecurity时涉及到从数据库中获取用户,结果一直报错,错误如下 Secure object: FilterInvocation: URL: /index.jsp; Attributes: [hasRole('ROLE_USER')] 2017-06-29 23:02:27 731 [DEBUG] Previously Authenticated: org.springf
Sentry基本原理
.... 永远年轻,永远热泪盈眶
11-08 6203
官方文档:sentry官网 Sentry基本介绍 Sentry 是一个实时事件日志记录和汇集的平台。其专注于错误监控以及提取一切事后处理所需信息而不依赖于麻烦的用户反馈。它分为客户端和服务端,客户端(目前客户端有Python, PHP,C#, Ruby等多种语言)就嵌入在你的应用程序中间,程序出现异常就向服务端发送消息,服务端将消息记录到数据库中并提供一个web页方便查看。 Sentry由pyth...
hive 集成sentry
weixin_33842304的博客
12-12 717
2019独角兽企业重金招聘Python工程师标准>>> ...
Impala和Hive集成Sentry
a118170653的专栏
02-03 5662
本文主要记录 CDH 5.2 Hadoop 集群中配置 Impala 和 Hive 集成 Sentry 的过程,包括 Sentry 的安装、配置以及和 Impala、Hive 集成后的测试。 使用 Sentry 来管理集群的权限,需要先在集群上配置好 Kerberos。 关于 Hadoop 集群上配置 kerberos 以及 ldap 的过程请参考本博客以下文章: HDFS配置K
Sentry简介—Getting Started with Sentry in Hive
wjandy0211的博客
12-11 197
Sentry简介—Getting Started with Sentry in Hive Sentry uses a policy provider to define the access control to Hive. Sentry currently ships with a file-based policy provider, see below for an example.
apache hive + sentry测试
约瑟夫的杂货店
11-25 1912
环境: 1. ubuntu 16.04STL 2. hadoop-2.6.0-cdh5.13.0 3. hive-1.1.0-cdh5.13.0 4. sentry-1.5.1-cdh5.13.0 —————————————————————————————— 各版本下载地址:(http://archive-primary.cloudera.com...
sentry mysql_Apache Sentry安装及简单使用
weixin_33726387的博客
02-03 375
1 环境描述三台hadoop集群,分别是master、slave1和slave2。下面是这三台机器的软件分布:master:NameNode、ZK、HiveMetaSotre、HiveServer2、SentryServerslave1:DataNode、ZKslave2:DataNode、ZK2 软件需求MySqlmysql-jdbc.jar:mysql-connector-java-5.1.3...
spring security自定义AccessDeniedException权限异常处理
六年级的叔叔
11-22 2万+
项目中需要根据url获取此url的权限,并做判断,若权限不足,throw new AccessDeniedException异常   项目中大多数前台访问请求为ajax请求,若为ajax请求,一般的需求为:若权限不足,直接前台提示,不做权限不足页面的跳转。 当然,为了满足可能某些项目会有&lt;a&gt;标签的超链接直接访问,还是在实现类里面做了两层判断 前提条件: 1,已经做了url的...
Apache Sentry手动安装、使用手册
数据科学汇集
01-05 1万+
Sentry手动安装、使用手册 1 Sentry简介 Apache Sentry 是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBas
配置安全的Hive集群集成Sentry
weixin_33883178的博客
04-08 390
本文主要记录配置安全的Hive集群集成Sentry的过程。Hive上配置了Kerberos认证,配置的过程请参考: 使用yum安装CDH Hadoop集群 Hive配置kerberos认证 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角...
0015-如何使用Sentry管理Hive外部表权限
weixin_34315665的博客
11-17 261
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.文档编写目的 本文档主要讲述如何使用SentryHive外部表权限管理,并基于以下假设: 1.操作系统版本:RedHat6.5 2.CM版本:CM 5.11.1 3.集群已启用Kerberos和Sentry 4.采用具有sudo权限的ec2-user用户进行操作 2.前置准备 2.1创建外部表数据父目录 1.使用hive用户...
基于 Sentry Hive 权限控制命令详解
jast
08-11 6231
Sentry不支持Hive CLI列权限管理,建议禁用Hive CLI。 (也不支持SparkSql列权限管理) #权限分为 SELECT ,INSERT ,ALL #查看所有role show roles; #创建role create role role_name; #删除role drop role role_name; #将某个数据库读权限授予给某个role GRAN...
sentry配置
huguoping830623的专栏
07-04 1849
官方文档:http://www.cloudera.com/documentation/enterprise/5-4-x/topics/sg_policy_cm_config.html#concept_nt1_c1z_zp_unique_1 1.开启testing.mode(否则需要先配好Kerberos ) cm中hive的配置->sentry-site.xml添加 : sentry
使用Stacktrace处理异常
热门推荐
欸奥维
06-28 5万+
Stacktrace(堆栈跟踪)是一个非常有用的调试工具. 在未捕获的异常被抛出时(或者手动制造堆栈跟踪的时候)它让你看到你调到的堆(意思是,在某一点调用方法的堆). 不仅显示出出现错误的地方, 也显出程序在那个地方是如何结束的.
CDH 安装Sentry报错:Could not create org.apache.sentry.provider.db.service.persistent.SentryStore
程志伟的博客
03-01 1461
关注微信公共号:小程在线 关注CSDN博客:程志伟的博客 Exception in thread "main" java.lang.IllegalStateException: Could not create org.apache.sentry.provider.db.service.persistent.SentryStore 解决方法: 在sentry的配置下 搜索:sentry-site.xml。 在名称填写:sentry.verify.schema.version 值填
hadoop sentry错误记录
weixin_30698527的博客
01-23 1726
1、报无法实例化metastore连接 hive> show tables; FAILED: SemanticException org.apache.hadoop.hive.ql.metadata.HiveException: java.lang.RuntimeException: Unable to instantiate org.apache.hadoop.hive.ql.meta...
sparksql集成sentry遇到的问题
u012477420的博客
07-24 3402
       sparksql本身并不提供安全认证机制,当前集群的安全认证主要包括sentry和ranger两大块,在通过sparksql执行建表时,sentry的权限报错'org.apache.hadoop.hive.metastore.api.MetaException: User xxx does not have privileges for CREATETABLE',然而通过hive的b...
hive集成sentry
weixin_34191734的博客
05-08 473
1、安装配置sentry 详细步骤见上一篇安装配置sentry 2、配置hive 2.1 Hive-server2集成Sentry 在 /etc/hive/conf/hive-site.xml中添加: <property> <name>hive.security.authorization.task.factory</name> <value&...
kafka(2.2.1)(kerberos+LDAP+Sentry)访问使用
dfdf123123的博客
09-11 522
目录 kafka(2.2.1)(kerberos+LDAP+Sentry)访问使用 kafka(2.2.1)(kerberos+LDAP+Sentry)访问使用 一.访问的kafka的一些配置(已集成kerberos ) 由于kafka集成了kerberos 所以需要通过kerberos的认证 认证方式有...
hudi hive 集成
最新发布
07-28
Hudi和Hive集成可以通过将Hudi表的数据映射为Hive外部表来实现。这样,Hive就可以方便地对Hudi表进行实时视图、读优化视图和增量查询。具体的步骤如下: 1. 首先,需要创建一个Hudi目录,并指定Hive的配置文件路径。可以使用以下代码创建目录: ``` CREATE CATALOG hive_catalog WITH ( 'type' = 'hive', 'default-database' = 'default', 'hive-conf-dir' = '/home/apache-hive-3.1.2-bin/conf' ); ``` 2. 进入Hudi目录并选择要使用的数据库。可以使用以下代码进入目录和选择数据库: ``` USE CATALOG hive_catalog; use test; ``` 3. 创建Hudi表,并指定Hudi的连接器类型、数据路径、表类型等信息。可以使用以下代码创建表: ``` create table t_catalog_cow2 ( id int primary key, num int, ts int ) partitioned by (num) with ( 'connector' = 'hudi', 'path' = 'hdfs://hp5:8020/user/hive/warehouse/test.db/t_catalog_cow2', 'table.type' = 'COPY_ON_WRITE', 'hive_sync.enable' = 'true', 'hive_sync.table' = 't_catalog_cow2', 'hive_sync.db' = 'test', 'hive_sync.mode' = 'hms', 'hive_sync.metastore.uris' = 'thrift://hp5:9083', 'hive_sync.conf.dir'='/home/apache-hive-3.1.2-bin/conf' ); ``` 4. 最后,可以向Hudi表中插入数据。可以使用以下代码插入数据: ``` insert into t_catalog_cow2 values (1,1,1); ``` 以上是Hudi和Hive集成的一般步骤,通过这种方式,可以在Hive中方便地对Hudi表进行查询和操作。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [Hudi系列13:Hudi集成Hive](https://blog.csdn.net/u010520724/article/details/128850750)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值