使用的capacity调度器,设置队列ACL后,没有权限的用户依然可以提交任务到队列中。
原因:
队列权限有继承性,root队列默认的ACL是,即都可以提交。因此设置root.acl_submit_applications即可*
查看用户的队列权限:
[yxw@node1 ~]$ mapred queue -showacls
18/12/29 16:24:03 INFO client.RMProxy: Connecting to ResourceManager at cdh6/10.125.18.35:8032
Queue acls for user : yxw
Queue Operations
=====================
root
default SUBMIT_APPLICATIONS
q1
可以看到,yxw用户在root和q1上没有权限,在default上有submit权限
注意:
acl_administer_queue 权限同时包括了acl_submit_applications的权限