Hadoop服务层授权控制

最新推荐文章于 2022-03-30 20:35:35 发布
最新推荐文章于 2022-03-30 20:35:35 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Hadoop 文章标签: hadoop auth hadoop权限管理 hadoop访问控制

本文转载自过往记忆(http://www.iteblog.com/)

原文链接地址: 《Hadoop服务层授权控制》(http://www.iteblog.com/archives/983)



Hadoop在服务层进行了授权(Service Level Authorization)控制,这是一种机制可以保证客户和Hadoop特定的服务进行链接,比如说我们可以控制哪个用户/哪些组可以提交Mapreduce任务。所有的这些配置可以在$HADOOP_CONF_DIR/hadoop-policy.xml中进行配置。它是最基础的访问控制,优先于文件权限和mapred队列权限验证。可以看看下图

Service Level Authorization

Service Level Authorization


  在默认情况下,service-level authorization功能是不启用的,如果你要开启service-level authorization,需要在$HADOOP_HOME/etc/hadoop/core-site.xml进行如下配置

1 <property>
2   <name>hadoop.security.authorization</name>
3   <value>true</value>
4   <description>Is service-level authorization enabled?</description>
5 </property>

设置好后,就开启了Hadoop的service-level authorization,这个生效需要重新启动NameNode节点(其他的节点不需要重启)
  在Hadoop 2.x版本中Service LevelAuthorization有10个可配置的属性,每个属性可指定拥有相应访问权限的用户或者用户组。每个属性描述如下:

Property Service
security.client.protocol.acl ACL for ClientProtocol, which is used by user code via the DistributedFileSystem.
security.client.datanode.protocol.acl ACL for ClientDatanodeProtocol, the client-to-datanode protocol for block recovery.
security.datanode.protocol.acl ACL for DatanodeProtocol, which is used by datanodes to communicate with the namenode.
security.inter.datanode.protocol.acl ACL for InterDatanodeProtocol, the inter-datanode protocol for updating generation timestamp.
security.namenode.protocol.acl ACL for NamenodeProtocol, the protocol used by the secondary namenode to communicate with the namenode.
security.inter.tracker.protocol.acl ACL for InterTrackerProtocol, used by the tasktrackers to communicate with the jobtracker.
security.job.submission.protocol.acl ACL for JobSubmissionProtocol, used by job clients to communciate with the jobtracker for job submission, querying job status etc.
security.task.umbilical.protocol.acl ACL for TaskUmbilicalProtocol, used by the map and reduce tasks to communicate with the parent tasktracker.
security.refresh.policy.protocol.acl ACL for RefreshAuthorizationPolicyProtocol, used by the dfsadmin and mradmin commands to refresh the security policy in-effect.
security.ha.service.protocol.acl ACL for HAService protocol used by HAAdmin to manage the active and stand-by states of namenode.

  $HADOOP_CONF_DIR/hadoop-policy.xml中的上述10个属性分别是用来控制不同服务的访问权限的。每个属性的值需要遵守一定的格式:每个可配置多个用户,用户之间用“,”分割;同时也可配置多个用户组,分组之间用“,”分割,用户和分组之间用空格分割,比如:Example: user1,user2 group1,group2。如果只有分组,需要在分组前面保留一个空格。如果这个值是*,这说明所有的用户都可以访问相应的服务。
下面举几个例子来说明:
  (1)、如果只允许某个用户或者某个组内的所有用户提交Mapreduce任务,可以配置如下:

1 <property>
2      <name>security.job.submission.protocol.acl</name>
3      <value>alice,bob mapreduce</value>
4 </property>

  (2)、如果只运行属于某个组内的用户运行DataNode来和NameNode进行通信,可以使用下面配置实现

1 <property>
2      <name>security.datanode.protocol.acl</name>
3      <value> datanodes</value>
4 </property>

  (3)、运行所有的用户访问集群上的HDFS,可以使用下面配置实现

1 <property>
2      <name>security.client.protocol.acl</name>
3      <value>*</value>
4 </property>

  对关于访问NameNode或者JobTracker的service-level authorization修改,不需要重启相应的守护进程,但是集群管理员需要通过下面的命令来加载已经修改的配置:如果修改了有关NameNode的服务配置,可以用下面的命令来动态加载

1 $ bin/hdfs dfsadmin -refreshServiceAcl

如果修改了有关JobTracker的服务配置,可以用下面的命令来动态加载

1 $ bin/hdfs mradmin -refreshServiceAcl

翻译自:《Service Level Authorization Guide》


qwurey
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop的安全/权限管理
肖韬的BLOG
05-20 1万+
为什么要注重权限管理Hadoop集群装好了,其自身几乎没有对安全/用户权限的配置。用户可以轻易地伪造自己的身份来破坏Hadoop集群,例如,从client伪装成一个hdfs用户删除HDFS中的全部数据,或者伪装成mapred用户提交一个恶意的job。对于商业用户而言,数据安全是最重要的。所以,对于Hadoop集群而言,必须进行一定的安全配置,保证数据和集群的安全。
hadoop-2.7.4.tar.gz
07-08
7. **安全性**:Hadoop 2.7.4支持安全模式,如Kerberos认证,可以提供身份验证和授权,确保只有经过认证的用户才能访问集群资源。 8. **Hadoop生态**:Hadoop生态系统还包括一系列关联项目,如Hive(数据仓库工具)...
Hadoop 权限管理
云计算?
10-17 447
如下图,hadoop访问控制分为两级,其中ServiceLevel Authorization为系统级,用于控制是否可以访问指定的服务,例如用户/组是否可以向集群提交Job,它是最基础的访问控制,优先于文件权限和mapred队列权限验证。Access Control on Job Queues在job调度策略之上,控制mapred队列的权限。DFSPermmision用户控制文件权限。目前版本中...
hadoop开启Service Level Authorization 服务级认证-SIMPLE认证-过程中遇到的坑
weixin_30305735的博客
08-15 1009
背景描述:   最近在进行安全扫描的时候,说hadoop存在漏洞,Hadoop授权访问【原理扫描】,然后就参考官方文档及一些资料,在测试环境中进行了开启,中间就遇到了很多的坑,或者说自己没有想明白的问题,在此记录下吧,这个问题搞了2天。 环境描述:   hadoop版本:2.6.2 操作步骤: 1.想要开启服务级认证,需要在core-site.xml文件中开启参数hadoo...
hadoop.security.authorization 导致 hiveserver2 webui 内容为空
houzhizhen的专栏
03-30 2579
<property> <name>hadoop.security.authorization</name> <value>false</value> </property>
hadoop 安全设置guide
08-27
Hadoop支持SSL加密,可以在网络加密数据流,防止嗅探和篡改。此外,**数据静态加密(Encryption-at-rest)**则在数据存储时进行加密,即使数据被盗,也无法直接读取,增加了数据的保密性。 **数据治理(Data ...
Hadoop 权限管理.pdf
06-21
服务级别授权Hadoop中最基础的一权限管理机制,用于控制用户是否能够访问特定的服务。例如,它可以限制某些用户或用户组向Hadoop集群提交作业的能力。服务级别授权优先于文件权限和MapReduce队列权限验证。 **...
hadoop 安全设计
11-14
1. **RPC安全**:远程过程调用(RPC)Hadoop内部通信的基础,为了保障通信安全,RPC实现了认证、加密和完整性检查等功能。 2. **HDFS安全**:Hadoop分布式文件系统(HDFS)的安全性主要通过以下机制实现: -...
大数据之路选择Hadoop还是MaxCompute?Hadoop开源与MaxCompute对比材料
最新发布
06-27
Hadoop生态系统包括一系列组件和服务,除了核心的HDFS和MapReduce之外,还包括: - **YARN**:用于资源管理和任务调度。 - **Hive**:提供类似SQL的查询语言HiveQL,简化了对Hadoop数据的查询和分析。 - **Pig**:一...
Hadoop cluster security2: How to enable hadoop Service Level Authorization
lulynn的博客
07-17 957
Reference: http://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/ServiceLevelAuth.html Steps: Add following in core-site.xml:                                 hadoop.s
hadoop要点
huangxiaoxun235的博客
06-15 607
(1)hadoop小文件影响效率原因: 小文件是指文件size小于HDFS上block大小的文件。这样的文件会给hadoop的扩展性和性能带来严重问题。首先,在HDFS中,任何block, 文件或者目录在内存中均以对象的形式存储,每个对象约占150byte,如果有1000 0000个小文件,每个文件占用一个block,则namenode 大约需要2G空间。如果存储1亿个文件,则namenod
Hadoop配置项(core-site.xml)
u014078192的专栏
06-03 3612
name value  Description   fs.default.name hdfs://hadoopmaster:9000 定义HadoopMaster的URI和端口  fs.checkpoint.dir /opt/data/hadoop1/hdfs/namesecondary1 定义hado
基于Hadoop SLA认证机制实现权限控制
haizhaopeng的专栏
07-31 3128
Hadoop集群上存储数据,同时基于MapReduce计算框架可以实现计算任务,那么无论是从数据保护的角度,还是从提交计算任务占用资源的角度来看,都需要存在一种权限管理与分配机制,能够很好地限制哪些人可以在HDFS上存储数据,哪些人可以利用集群的资源来处理特定的计算任务。当然,如果能够非常完美地解决这些问题是最好的。当前Hadoop本身提供的权限管理功能还不能满足普遍的需要,或者我们从Hadoop
Hadoop配置项整理
weixin_30500663的博客
07-10 318
记录一下Hadoop的配置和说明,用到新的配置项会补充进来,不定期更新。以配置文件名划分 以hadoop 1.x配置为例 core-site.xml name value Description fs.default.name hdfs://hadoopmaster:9000 定义HadoopMaster的URI和端口 ...
11. Hadoop集群搭建 - Hadoop配置文件修改 - 基于CentOS7 -【连载中】
Hadoop集群搭建详细教程
08-10 565
续上一篇文章:10. Hadoop集群搭建 - Hadoop环境变量配置 - 基于CentOS7 -【连载中】 未上传hadoop-2.7.4.tar.gz包的同学请自行上传软件包,不懂请参阅:7. Hadoop集群搭建 - 上传应用/软件 - 基于CentOS7 -【连载中】下载软件包也在其中,请自主操作 目录查看、修改Hadoop配置文件编辑配置文件复制生成mapred-site.xml文件修改hadoop-env.sh修改yarn-env.sh修改core-site.xml修改hdfs-site.
hadoop yarn 获取日志_Hadoop YARN配置参数剖析(2)—权限与日志聚集相关参数
weixin_33923059的博客
01-17 217
注意,配置这些参数前,应充分理解这几个参数的含义,以防止误配给集群带来的隐患。另外,这些参数均需要在yarn-site.xml中配置。1. 权限相关配置参数这里的权限由三部分组成,分别是:(1)管理员和普通用户如何区分 (2)服务级别的权限,比如哪些用户可以向集群提交ResourceManager提交应用程序,(3)队列级别的权限,比如哪些用户可以向队列A提交作业等。管理员列表由参数yar...
hadoop配置文件详解系列(一)-core-site.xml篇
bingque6535的博客
01-07 3706
属性名称 属性值 描述 hadoop.common.configuration. version 0.23.0 配置文件的版本。 hadoop.tmp.dir /tmp/hadoop-${user.name} ...
Hadoop基于SLA权限认证
专注技术交流、咨询
12-19 923
在core-site.xml中配置以下属性:  hadoop.security.authorization=true 配置hadoop-policy.xml  参数格式 用户名与用户组之间用空格分开  用户用户之间用“,”  Tom,cat super,no  属性说明 security.client.protocol.acl 控制访问HDFS的权限   secu
Hadoop安全指南:深度解析身份验证、授权与数据保护
接下来是"授权"(Authorization),讲解如何设置访问控制策略,确保用户只能访问他们被授权的数据和服务。通过实际操作演示,参与者将观察权限分配对系统性能和数据访问的影响。 "数据保护——网络加密"(Data ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值