cloudera manager下的hive权限配置

最新推荐文章于 2023-10-30 15:11:20 发布
最新推荐文章于 2023-10-30 15:11:20 发布
阅读量6.3k 收藏 12
点赞数 4
文章标签: hive cloudera
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaomeng1123/article/details/49024929
版权

前言

公司运营、BI以及财务不同部门不同人员需要hive数据查询服务,所以需要分配不同的权限给相关人员

权限配置主要涉及两项:

- 认证(authentication):验证用户所用的身份是否是对的
- 授权(authorization):验证用户所用身份操作是否有权限

cloudera集成的hive认证支持常用的LDAP和kerberos,授权使用的是他自家的sentry,sentry目前还处在孵化中。为了推广他自家的产品,屏蔽了hive的授权管理

针对我的需求,用户统一在hue界面操作hive,分配不同表权限给不同的用户,权限的授予只需要一个管理员账户;授权使用hive原生的

配置

认证配置

hive默认所有用户都可以做权限的更改,配置为只有管理员(如admin)才能修改权限
使用钩子做身份拦截,如果用户不为admin且操作权限管理操作,拒绝,代码示例如下:

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.apache.hadoop.hive.ql.parse.ASTNode;
import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import org.apache.hadoop.hive.ql.parse.SemanticException;
import org.apache.hadoop.hive.ql.session.SessionState;

public class HiveAdmin extends AbstractSemanticAnalyzerHook {
    private static String admin = "admin";
    private static final Log LOG = LogFactory.getLog(HiveAdmin.class);

    @Override
    public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
                              ASTNode ast) throws SemanticException {
        String userName = null;
        String Authenticator="null";

        switch (ast.getToken().getType()) {
            case 692: //grant
            case 646:// CREATE ROLE amengzi;
            case 675:// DROP ROLE amengzi
            case 694: //GRANT ROLE amengzi to user amengzi;
            case 793:// REVOKE ROLE amengzi FROM user amengzi;

//            case 647://create table test11(id string)
//            case 676://drop table test;
//            case 783://select * from test;
//            case 817://show grant
//            case 671: //drop database;
                if (SessionState.get() != null
                            && SessionState.get().getAuthenticator() != null) {
                    Authenticator = SessionState.get().getAuthenticator().toString();
                    userName = SessionState.get().getAuthenticator().getUserName();
                }
                if (!admin.equalsIgnoreCase(userName)) {
                    System.out.println("===================can't use ADMIN options, except");
                    throw new SemanticException(userName
                                                        + " can't use ADMIN options, except " + admin + ".");
                }
                break;
            default:
                break;
        }

        int tokeType=ast.getToken().getType();
        LOG.error("tokeType:"+tokeType+"=======user " + SessionState.get().getAuthenticator().getUserName()+" Authenticator "+SessionState.get().getAuthenticator().toString());
        System.out.println("tokeType:"+tokeType+"===================user: " + SessionState.get().getAuthenticator().getUserName()+" Authenticator "+SessionState.get().getAuthenticator().toString());
        return ast;
//        return super.preAnalyze(context, ast);
    }

//    @Override
//    public void postAnalyze(HiveSemanticAnalyzerHookContext context,
//                            List<Task<? extends Serializable>> rootTasks)
//            throws SemanticException {
//        console.printInfo("!! SimpleSemanticPreAnalyzerHook postAnalyze called !!");
//        super.postAnalyze(context, rootTasks);
//    }
}

在使用客户端hive时,会显示向控制台输出的语句,便于调试
在hue上操作时,logger的输出会在hiveserver2日志中输出

授权配置

cloudera默认用org.apache.hadoop.hive.ql.parse.authorization.RestrictedHiveAuthorizationTaskFactoryImpl替换hive的org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl做权限屏蔽,需要通过配置文件使用原生hive类

从CM界面放入以下配置于hive-site.xml 的 Hive 客户端高级配置代码段(安全阀)和hive-site.xml 的 HiveServer2 高级配置代码段(安全阀)

<property>
<name>hive.security.authorization.enabled</name>
<value>true</value>
<description>enable or disable the hive client authorization</description>
</property>

<property>
<name>hive.security.authorization.createtable.owner.grants</name>
<value>ALL</value>
<description>the privileges automatically granted to the owner whenever a table gets created. An example like"select,drop" will grant select and drop privilege to the owner of the table</description>
</property>

<property>
<name>hive.security.authorization.task.factory</name>
<value>org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl</value>
</property>

<property>
<name>hive.semantic.analyzer.hook</name>
<value>HiveAdmin</value>
</property>

这里写图片描述

注意:后续hdfs权限需要做相应修改
在namenode活动节点创建需要的用户账户
如果使用hue,linux账户和hue的账户可以同步hue useradmin_sync_with_unix
启用了hive权限之后发现hue和hive客户端都没有创建数据库的权限,我需要客户端能过创建数据酷,所以“hive-site.xml 的 Hive 客户端高级配置代码段(安全阀)“不作配置,这样HiveAdmin的jar包只需放到hiveserver2所在主机/opt/cloudera/parcels/CDH-5.4.4-1.cdh5.4.4.p0.4/lib/hive/lib/下就可以,如果hive-site客户端也配置了权限,则jar需要放到hive lib下
如果想后端也加上权限,又想可以创建数据库,则方案可以配置为单独一台机子不做权限配置,用来做数据库创建
hue和hive有一个坑导致不能相同授权重复,所以授权操作需要通过hive客户端来操作

奇允
关注
Ldap集成cloudera Manager应用服务
anguoan的博客
10-28 501
Ldap集成cloudera Manager应用服务
CDH大数据平台 24Cloudera Manager Console之hbase、hive整合配置(markdown新版)
80后大叔爱学习
11-05 2194
CDH大数据平台 24Cloudera Manager Console之hbase、hive整合配置(markdown新版)
Cloudera Hive传统权限管理设置
youchuikai的博客
06-09 1005
Cloudera Hive 传统权限管理设置
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 1143
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
cloudera manager中添加hive数据库使用mysql的配置步骤
06-20
cloudera manager中添加hive数据库使用mysql的配置的详细步骤
使用cloudera manager安装Hive服务【详细步骤】
乔治大哥的博客
11-13 1406
使用CM安装Hive服务 到节点上建表: ##hive create database hive DEFAULT CHARACTER SET utf8; grant all on hive.* TO 'hive'@'%' IDENTIFIED BY 'hive';
cloudera hive mysql_使用Cloudera Manager搭建Hive服务
weixin_39949673的博客
02-11 409
使用Cloudera Manager搭建Hive服务作者:尹正杰版权声明:原创作品,谢绝转载!否则将追究法律责任。一.安装Hive环境1>.进入CM服务安装向导2>.选择需要安装的hive服务3>.选择hive的依赖环境,我们选择第一个即可(hive不仅仅可以使用mr计算,还可以使用tez计算哟~)4>.为Hive分配角色Hive Metastore是管理和存储元信息的服务...
CLOUDERA-Manager-中文手册
11-12
- **集群安装**:Cloudera Manager简化了Hadoop集群的部署过程,使得运维人员可以快速、高效地设置和配置新集群,包括安装和升级各个组件,如Hadoop、Hive、Spark等。 - **集群配置**:对于已部署的集群,Cloudera...
Cloudera Manager6.3.2详细安装教程,部署使用手册
最新发布
xinxizjz的博客
10-30 1026
本文详细介绍了Cloudera Manager6.3.2的安装步骤,包括前期准备,安装过程,插件安装,验证安装成功。
linux安装Cloudera manager1
08-08
Cloudera Manager是一款强大的管理工具,专为简化Apache Hadoop及其相关组件的部署、配置和监控而设计。在Linux环境中安装Cloudera Manager可以帮助用户更有效地管理Hadoop集群,确保高效的数据处理和分析。本文将...
基于Cloudera Manager5配置HIVE压缩
Ganymede的Hadoop世界
10-13 904
[Author]: kwu 基于Cloudera Manager5配置HIVE压缩,配置HIVE的压缩,实际就是配置MapReduce的压缩,包括运行结果及中间结果的压缩。
Cloudera Manager 配置 LDAP 集成 Kerberos
跟着大数据和AI去旅行
01-26 4714
本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.2
基于CDH5.x的Hive权限详细配置
Ganymede的Hadoop世界
10-03 8848
基于CDH5.x的Hive权限详细配置
cloudera manager安装hive各种坑解决方案
02-08 3519
问题一 (Hive元数据库编码异常) 问题描述: 解决方案: ##设置hive数据库编码为latin1 mysql &gt; alter database hive character set latin1; 问题二 (JDBC版本异常) 问题描述: 解决方案: JDBC Driver版本过低引起的异常,使用高版本的JDBC驱动 问题三 ...
CDH权限不够,修改用户和用户组为root
热门推荐
NeverGiveup54的专栏
01-19 2万+
不知道大家有木有遇到过CDH中使用默认的用户和用户组导致有些地方的文件权限操作和用户操作的各种问题。CDH默认安装的时候,会创建各种用户,hdfs,hive,spark,impala,sqoop等等的用户,但往往我们在做一些操作的时候往往权限不够,导致各种各样的问题,如:只能使用hdfs用户执行job,只能使用hdfs用户下使用hive,JobHistory Server的日志在监控WEB界面不能
cdh部署
u013165852的博客
08-22 169
cdh部署 supermicro安装环境 本次安装基于无因特网的环境,共安装2个节点(一个master节点,一个data及节点),所用系统为centos7.x,所有安装过程均使用root用户。具体的节点信息如下: 节点名称 节点id mgmt 192.168.111.134 data1 192.168....
Cloudera Manager5常见问题汇总
邹中凡
11-13 1万+
1,在Cloudera Manager5中安装CDH时报如下错: 查看旁边的“详细信息”链接,可以发现在“正在启动 Cloudera Manager Agent…”环节有如下错误:>>IOError: [Errno 13] Permission denied: '/var/log/cloudera-scm-agent/cloudera-scm-agent.log' >>error: [Errno
使用Cloudera Manager搭建Hive服务
weixin_33939843的博客
05-22 504
             使用Cloudera Manager搭建Hive服务                                       作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.安装Hive环境 1>.进入CM服务安装向导 2>.选择需要安装的hive服务 3>.选择hive的依赖环境,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值