hdfs java 权限管理,HDFS的权限管理

最新推荐文章于 2022-11-02 09:28:02 发布
最新推荐文章于 2022-11-02 09:28:02 发布
阅读量252 收藏
点赞数
文章标签: hdfs java 权限管理

1 HDFS的权限管理介绍

HDFS的权限管理分成2大部分:

类似linux的基本权限管理(粗粒度)

针对管理对象分三种:user、group、other方式的权限管理方式

user:即目录或文件的owner

group:即上述owner所在的组

other:其他用户的统称

ACL方式的权限管理(细粒度)

可以精确控制到某个user、某个group具有对应的权限

2种方式具体见下图

f33e7cef30700a8c00d0bf53c6458168.png

基本的权限方式如同linux中目录或文件的权限管理方式,它是一种粗粒度的,不能控制到某一个用户如t1。ACL的权限管理方式就可以,如下

user:t1:r-x

表示用户t1具有读和可执行的权限(在HDFS中没有可执行的概念,暂且这么叫吧,这里的x权限就是进入目录和列出目录下的文件或内容的权限)

2 HDFS基本权限管理

创建一个文件或目录,初始的基本权限是多少呢?经历如下2过程:

2.1 默认的文件或目录权限

创建文件或目录的时候可以指定权限,没有指定的话,就使用默认的权限,如下

目录:777

文件:666

2.2 应用客户端配置的uMask

注意:这个配置是客户端可以配置的,即客户端自己主宰创建文件或目录的权限。

umask的作用:

就是对HDFS基本权限的限制,如022分别表示:0表示对owner没有限制,2表示对group不允许有写权限,2表示对other不允许有写权限。

应用客户端配置的umask其实就是拿用户设置的权限减去上述umask权限,就得到文件或目录的最终权限了。如创建目录,默认777权限,然后减去umask权限022就等于755,即默认情况下owner拥有读写和可执行权限,owner所在group拥有读和可执行权限,other拥有读和可执行的权限

下面重点来说下umask的获取过程:

首先尝试获取配置文件中的fs.permissions.umask-mode属性,如022,然后构建出umask权限对象

如果上述属性没有配置的话,获取dfs.umask属性(过时了,推荐用第一种方式),这种方式的umask是10进制形式,如上述的022=2x8+2=18即这里的umask要配置成18

如果上述属性也没有配置的话,默认使用18即022来构建出umask对象

至此,在没有ACL设置的情况下创建文件或目录的权限即上述过程了。

3 HDFS ACL权限管理

3.1 ACL权限管理模型

AclEntry对象,如

user:t1:r-x、group:g1:rwx、other::--x、mask::r-x

default:user:t1:r-x、default:group:g1:r-x、default:other::r-x、default:mask::r-x

包含4部分内容:

public class AclEntry {

private final AclEntryType type;

private final String name;

private final FsAction permission;

private final AclEntryScope scope;

}

name:即名称,如上述的t1、g1,也可以为null如上述的mask::r-x

FsAction:权限信息,总共有如下权限 NONE("---"),

EXECUTE("--x"),

WRITE("-w-"),

WRITE_EXECUTE("-wx"),

READ("r--"),

READ_EXECUTE("r-x"),

READ_WRITE("rw-"),

ALL("rwx");

AclEntryScope:枚举值,值为ACCESS、DEFAULT

ACCESS:表示该条ACL是针对本目录或文件的,前缀省略不写

DEFAULT:只存在于目录中,前缀是default:,一旦在该目录中创建子目录或文件,子目录或文件的ACL就会继承该条ACL权限。即如果父目录中含有一个default:user:t1:r-x记录,则在创建子目录或者文件的时候,都会自动加上一条user:t1:r-x的记录

AclEntryType:枚举值,值为USER、GROUP、OTHER、MASK

USER:如上述的user:t1:r-x表示t1是一个用户

GROUP:如上述的group:g1:rwx表示g1是一个组

OTHER:如上述的other::--x表示剩余的所有用户的统称

MASK:如上述的mask::r-x,主要用于过滤,如上述的group:g1:rwx,虽然这里是rwx权限,但是真正在判定权限的时候,还是要与mask::r-x进行and操作,即过滤了w权限,所以group:g1:rwx的实际权限是group:g1:r-x,如下图所示

a9b65cc2553d6402aaab2bb393ad3208.png

其实mask只作用在name值不为null的user和所有的group上,这个后面再详细说明

基本权限也可以转化成ACL权限,例子如基本权限如drwxr-xr-x,对应的ACL权限如

user::rwx 对应user权限

(group::r-x)对应group权限

mask::r-x 对应group权限

other::r-x 对应other权限

上述修改基本权限或者修改对应的ACL权限都会相互影响。有一个例外:上述的group::r-x在创建的时候依据基本权限中的group权限,但是直接修改ACL中的group::r-x权限,并不直接影响基本权限中的group权限,这也是比较坑的地方,即group::r-x权限被造出来之后就像被遗弃了。

3.2 ACCESS scope中的mask

3.2.1 mask值的主动修改

ACCESS scope中的mask对应的权限就是HDFS基本权限中的group权限。如下所示:

96be51b5ec00a9dee1748199e818770c.png

所以如下2种方式都可以更改基本权限中的group权限:

hdfs dfs -chmod 751

如修改基本权限为751,则mask取group权限则为5,即r-x权限,如下图所示

a132df195507d90d688dac38de4cabe6.png

直接修改mask acl中的权限值

如hdfs dfs -setfacl -m mask::--x /user/lg/acl,修改了mask值,同时也修改了基本权限中的group权限

995b4b2cc30e215fa0fbb44644f385fd.png

3.2.2 mask值的被动重新计算

当acl新添加或者删除的时候,都会触发mask的重新计算,计算方式就是:

所有name不为null的user类型的acl和所有的group类型的acl的权限取并集

例子如下:

7850494a187ce037a04317ec135d2dd0.png

这时候基本权限中的group权限也会随着mask的改变而改变。

目前到这里总结下mask:

主要设计成对其他user和group类型的权限过滤,你主动去设置mask,此时会起到一定的过滤作用,

但是一旦重新添加或者删除acl的时候,mask的值就被重新计算了,也就是说你之前设置的没啥用了,这个就意味着mask没啥鸟用,当你无意间执行chmod修改权限,就可能会造成别人如t1用户突然少了某些权限,一旦新增一个t2用户的acl权限,t1用户的权限又突然回来了,这个也算是个坑吧,不知道为啥这样设计,欢迎来讨论。

3.3 DEFAULT scope中的mask

DEFAULT scope中的mask和ACCESS scope中的mask基本类似,都是用于过滤权限。

3.3.1 mask值主动修改

上述ACCESS scope中mask值有2种方式,而DEFAULT scope中只有一种方式,就是

直接修改mask acl中的权限值

如hdfs dfs -setfacl -m default:mask::--x /user/lg/acl

07ea501e5d310f1dc9c07d798eec90c2.png

修改之后上述default:user:t1:r-x 的实际权限就只是 --x了,即与default mask执行and操作的结果

3.3.2 mask值被重新计算

当acl新添加或者删除的时候,都会触发mask的重新计算,计算方式就是:

所有name不为null的user类型的acl和所有的group类型的acl的权限取并集。这里不再说明了,见ACCESS scope中的mask重新计算。

3.4 过程分析

前面介绍的是一些基本概念和理论,现在来看看下面几个过程具体会发生什么操作

3.4.1 权限验证过程

例子: 验证用户u1是否对路径/user/lg/acl有读权限

1 检查u1是否是该路径的owner

如果是owner,则直接使用基本权限中的user权限来判定,代码如下

46aad95d39f0ee62f2d73ec93633f42a.png

2 遍历该路径的所有ACCESS scope的ACL权限

如果当前ACL类型是user,并且用户名匹配,如user:u1:r-x,在判定时还需要将该r-x权限和基本权限中的group权限(即mask权限)执行and操作来作为实际的权限,如果此时mask::--x,执行and操作之后实际权限变成了--x权限,即仍然没有读权限

如果当前ACL类型是group,并且该u1用户所属的groups中包含该group,同上述一样,仍然需要将该条ACL权限与基本权限中的group权限(即mask权限)执行and操作来判定最终的权限

代码如下:

d2d1f5b3e0849f3dba34567cbd6600e4.png

3 一旦该用户在上述权限中都没匹配到,则使用基本权限中的other权限来判定

注意这里的没有匹配到的含义:如果有user:u1:--x权限,即匹配到了用户,但是该ACL并没有读权限,此时并不会去执行这部分的other权限

6e54de0fcc5c1951fcf8e463357ed322.png

4 以上还未能找到相关权限则判定该用户无权限

3.4.2 创建文件或目录

1 如果创建文件或者目录时没有指定基本权限权限,则使用默认的基本权限权限

目录:777

文件:666

2 在上述基本权限的基础上应用客户端配置的umask权限,默认是022,则目录和文件分别变成

目录:755

文件:644

3 如果父目录中含有DEFAULT scope的ACL权限信息

default:user::rwx和上述文件或目录基本权限中的user权限执行and操作作为最终的基本权限中的user权限 default:mask::r-x和上述文件或目录基本权限中的group权限执行and操作作为最终的基本权限中的group权限 default:other::--x和上述文件或目录基本权限中的other权限执行and操作作为最终的基本权限中的other权限

例子如下:

4686848d0d9330dab1bc8ab547376b8f.png

default中的其他权限直接作为子目录或文件的ACCESS权限

代码见:

fcd39d755674acda0780094d60f30a42.png

4 如果创建的是子目录,则将全部的default权限复制给子目录作为子目录的default权限

5 然后重新计算子文件或目录的基本权限(因为上述过程可能会修改基本权限)

代码见

78eba3b592fa7d8befd16c478ed0285b.png

3.4.3 修改ACL

新增或删除或修改ACL操作的时候都会重新计算mask的值

ACCESS scope中的ACL变动会重新计算ACCESS scope中的mask

DEFAULT scope中的ACL变动会重新计算DEFAULT scope中的mask

mask的计算方式上面就说明了。

qin meng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hdfs user 连接_HDFS权限管理用户指南
weixin_39938522的博客
12-19 282
HDFS权限管理用户指南概述Hadoop分布式文件系统实现了一个和POSIX系统类似的文件和目录的权限模型。每个文件和目录有一个所有者(owner)和一个组(group)。文件或目录对其所有者、同组的其他用户以及所有其他用户分别有着不同的权限。对文件而言,当读取这个文件时需要有r权限,当写入或者追加到文件时需要有w权限。对目录而言,当列出目录内容时需要具有r权限,当新建或删除子文件或子目录时需要有...
hdfs java api 权限_HDFS Java API 详解
weixin_36308872的博客
02-15 199
Hadoop版本: Hadoop 2.6.0连接HDFSStringURL="hdfs://hadoop001:9000";Configurationconf=newConfiguration();conf.set("fs.defaultFS",URL);FileSystemfs=FileSystem.get(conf);上传文件到HDFS//获取本地文件的输入流FileInp...
HDFSjavaAPI操作,HDFS权限问题以及伪造用户,HDFS的小文件合并
11-08 8652
javaAPI操作 创建maven工程并导入jar包 由于cdh版本的所有的软件涉及版权的问题 所以并没有将所有的jar包托管到maven仓库当中去 而是托管在了CDH自己的服务器上面,所以我们默认去maven的仓库下载不到,需要自己手动的添加repository去CDH仓库进行下载,以下两个地址是官方文档说明,请仔细查阅 https://www.cloudera.com/documentatio...
hdfs java 权限管理_HDFS权限管理指南(HDFS Permissions Guide)
weixin_39769767的博客
02-13 195
综述HDFS实现了一个类似POSIX模型的文件和文件夹权限管理模型。每一个文件盒文件夹都有一个所有者和一个组。文件或者文件夹可以通过权限区分是所有者还是组成员或是其他用户。对文件来说,r标示可以阅读文件,w标示可以写入文件,对于文件夹来说,r标示可以阅读其下的内容,w可以创建或者删除文件或文件夹,x标示进入其子节点。与POSIX 模型相比,没有可执行文件的概念,对于文件夹来说,没有setuid或s...
java 读写 hdfs文件系统例子(包括权限设置)
04-10
java 读写 hdfs文件系统例子(包括权限设置);java 读写 hdfs文件系统例子(包括权限设置)java 读写 hdfs文件系统例子(包括权限设置)
hdfs.zip_hdfs_hdfs java
09-20
本教程将详细讲解如何使用Java语言与HDFS进行交互,包括将本地文件上传到HDFS以及从HDFS下载文件。 首先,你需要在Java项目中引入Hadoop的相关依赖。Hadoop提供了Java API,使得开发人员能够方便地操作HDFS。通常,...
HDFS Java api 简单程序.zip
01-10
HDFS Java API是开发人员与HDFS进行通信的主要接口,它提供了丰富的类和方法,使得在Java程序中读写HDFS文件变得简单易行。 首先,我们需要导入Hadoop的相关库。在Java项目中,确保你的`pom.xml`或`build.gradle`...
HDFSJavaAPI.tar.gz_HDFS JAVA API_hdfs
09-23
8. **权限和访问控制**:HDFS支持POSIX样式的权限模型,Java API提供了设置和检查文件和目录权限的函数。 9. **安全性**:在安全模式下,HDFS支持Kerberos认证,Java API提供了进行安全身份验证的机制。 10. **...
使用Java API操作HDFS分布式文件系统
最新发布
04-11
通过上述Java API,开发者可以构建出复杂的HDFS操作逻辑,实现数据的高效读写、管理和处理。在实际应用中,还需要考虑性能优化、容错机制以及与其他Hadoop生态组件的集成。例如,结合MapReduce进行大规模数据处理,...
Java读取hdfs文件权限问题
weixin_38011805的博客
08-19 747
权限 hdfs java
java api访问hdfs的权限异常
乱花丛中独秀的博客
10-14 1340
在使用java api来在hdfs上操作时,可能会产生Permission denied: user=xxx, access=WRITE,inode="/myData/apiCreate.txt":centos:superg错误。错误产生原因: ==================== java程序运行的系统当下正在使用的用户名在hdfs上想要操作的目录下没有权限--->rwxrwxrwx=
Hadoop笔记之五——java访问hdfs的权限设置
D的博客
11-02 1554
java代码取访问hdfs的时候,默认不是以hdfs系统所属用户的身份访问的,要想以主用户身份访问,有两种方式。         1、             配置连接hadoop的时候,加入如下代码。             //客户端用户与文件所属者用户 名称是否一样             System.setProperty("HADOOP_USER_NAME", "hadoop")...
java修改hdfs文件权限,HDFS基础和java api操作
weixin_28841265的博客
03-21 702
1. 概括适合一次写入多次查询情况,不支持并发写情况通过hadoop shell 上传的文件存放在DataNode的block中,通过linuxshell只能看见block,看不见文件(HDFS将客户端的大文件存放在很多节点的数据块中,Block本质上是一个逻辑概念,它是hdfs读写数据的基本单位)HDFS中,如果一个文件小于一个数据块的大小,并不占用整个数据块存储空间2. fs可以使用hdfs ...
hdfs java 权限管理_Java API 操作HDFS权限问题
weixin_39932479的博客
02-13 140
例如在HDFS上创建/input目录,Java代码如下:package HDFS;import org.apache.hadoop.conf.Configuration;import org.apache.hadoop.fs.FileSystem;import org.apache.hadoop.fs.Path;import java.io.IOException;/*** Created by ...
HdfsACL 基本理解
Axel_Fran的博客
03-29 877
首先ACL (access control list) 中文 “权限访问控制列表”, 简单来说,就是记录 HDFS 的文件或者文件夹 针对 owner,group, others 三个角色的权限是什么(xrw) 类似于,我们常常查看文件的权限 ll 命令, 有九位 比如:xrw--x-r hdfs 默认是开启文件访问权限的,就是按照rwx 来进行判断是否有读写执行权限。然后根据用户拥有者, 同组用户, 非同组用户 来进行权限管理 然而ACL 是一个对于HDFS 的可选启动项, 目的: 制定 “除.
HDFS文件权限及ACL访问控制
大怀特的博客
10-15 2832
1、权限相关配置 2、hdfs acl权限实体类别 3、hdfs acl权限生效的算法规则 4、hdfs acl shell命令 5、hdfs acl FileSystem 相关API dfs文件权限及ACL访问控制 1、权限相关配置 (1)、hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</v
HDFS文件权限管理
weixin_51551506的博客
11-02 7120
如上,-rw-r–r-- 表示该文件的权限,1代表其大小,dolphin supergroup 代表该文件所属用户和用户组,再后面是该文件最后修改时间和文件名信息。r表明该文件有可读权限,w代表有可写权限,x代表有可执行权限。在命令行窗口运行下面的命令,修改文件用户为dolphin,用户组为supergroup。在命令行窗口运行下面的命令,修改文件用户组为hadoop。在命令行窗口运行下面的命令,修改文件权限为rwx。运行后显示如下,表明修改所属用户组成功。运行后显示如下,表明修改权限成功。
使用JavaAPI操作HDFS创建目录和权限问题
大数据学习
01-03 7226
一、创建目录 1.首先在虚拟Linux上找到jar包 $HADOOP_HOME/share/hadoop/common/*.jar $HADOOP_HOME/share/hadoop/common/lib/*.jar $HADOOP_HOME/share/hadoop/hdfs/*.jar $HADOOP_HO...
JAVA代码操作HDFS
凉茶铺的博客
09-26 5595
介绍了如何通过Java代码方式来操作HDFS
hdfs java切换用户
08-08
Java中使用Hadoop的HDFS API来切换用户,你需要使用 `org.apache.hadoop.security.UserGroupInformation` 类来实现这个功能。 这里是一个示例代码,假设你想要切换到用户 `newuser`: ```java import org.apache...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值