EsgynDB 使用Sentry配置Hive访问权限失效

最新推荐文章于 2023-04-20 14:17:18 发布

原创最新推荐文章于 2023-04-20 14:17:18 发布 · 665 阅读

0 ·

CC 4.0 BY-SA版权

QianBase/EsgynDB/Trafodion 同时被 2 个专栏收录

263 篇文章

订阅专栏

QianBase/EsgynDB诊断

65 篇文章

订阅专栏

本文介绍了一种现象，在Sentry对Hive进行权限控制时，Trafodion用户仍能访问所有Hive表。通过检查权限发现用户及用户组并无相关权限，最终确定为数据库配置问题，并给出了具体的解决步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

现象

在有Sentry对Hive做权限访问控制的情况下，发现使用trafodion用户（属于trafodion用户组）仍然有对所有Hive表的访问权限。

分析

首先使用以下两条命令查看trafodion用户以及trafodion用户组对表是否具有权限，

java com.esgyn.security.util.UserPrivTest  trafodion hive.hive.t1
java com.esgyn.security.util.AuthTest trafodionhive.hive.t1

以上两条命令中，其中第一条用于检查trafodion用户是否有权限访问Hive中的t1表，第二条用于检查trafodion用户组是否有权限访问t1表。
以上输出结果发现，trafodion用户和组确实没有相关的权限，因此定位与数据库的DCS服务有关，应该属于数据库本身的问题。

解决

通过cat $TRAF_HOME/etc/ms.env | grep SENTRY找到以下两行，

SENTRY_SECURITY_FOR_HIVE=
SENTRY_SECURITY_GROUP_MODE=SHELL

修改为

SENTRY_SECURITY_FOR_HIVE=TRUE
SENTRY_SECURITY_GROUP_MODE=SHELL

之后重启数据库生效。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

数据源的港湾

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

hdfs sentry acl权限同步失效

wflh323的专栏

05-10

2831

集群开启hdfs sentry acl权限同步，一直很稳定的运行，某天突然出现hive权限问题，hive通过hs2 访问的不受影响，hive cli访问全部失败(不推荐使用hive cli 命令)，其它任务访问hive表路径失败，用hdfs getfacl命令查看，权限同步目录acl全部失效，集群基本无法访问，查看sentry，hive正常，日志都没有异常信息，查看namenode日志出...

hdfs同步sentry权限到文件系统acl异常，导致hdfs acl权限全部丢失

最新发布

appleYQL的博客

11-27

896

集群是CDH6.2.0，权限使用sentry鉴权，一次hadoop修改配置重启后出现，无论是使用hive客户端还是直接加载文件进去都是提示文件权限问题，使用访问hiveserver2的服务是正常的(hiveserver2正常应该是鉴权是在sentry，鉴权完成后使用hive用户访问)，查看了sentry上面的赋权，权限是正常的，再查看hdfs文件系统上面的目录和文件，发现acl权限全部丢失。

参与评论您还未登录，请先登录后发表或查看评论

hive启用kerberos+sentry后超级用户无权限

邢为栋

05-13

2096

hive启用了kerberos和sentry，使用hive超级用户hive通过beeline访问服务，无法进行角色创建，切换数据库等操作。报错如下： FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.DDLTask. Current user : hive is not allowed to add roles. User has to belong to ADMIN role and have it as

hive开通sentry权限问题梳理

寒夜

11-17

1490

一、hive权限变更缓慢 1、背景说明 2、问题分析 3、解决方式二、sentry同步hive权限缓慢 1、背景说明 2、问题分析三、sentry所用mysql字符集问题 1、背景说明 2、问题说明 3、解决办法四、客户端下发问题 1、背景说明 2、问题说明 3、解决办法五、yarn资源池配置 1、背景说明 2、问题说明 3、解决办法六、sentry uri授权问题 1、问题说明 2、问题说明 3、解决办法七、beeline启用sentry后，无法使用add file xxx 和add jar

基于Apache Sentry的Hive权限管理

高矮

12-04

5031

前言：本文是基于Apache Sentry做Hive权限管理的相关配置及测试 hue权限管理请参考：https://blog.youkuaiyun.com/u012551524/article/details/79392439 hive自身的权限管理请参考：https://blog.youkuaiyun.com/u012551524/article/details/79655370 CDH环境安装参考：https:...

CDH6.2 集成Sentry，Hive，Hue，Impala权限控制

简单的心的博客

07-02

6393

公司最近Hadoop集群和其他服务机器复用严重，提供了新机器，想将Hadoop集群迁出。 Hadoop使用的CDH集成环境，从CDH5.3跨越到CDH6.2 之前在CDH5.3上将hive从0.13升级到1.2.1。然后做了hive权限控制详情见https://blog.youkuaiyun.com/u012422198/article/details/94434445 想在CDH6.2中同样来一套...

基于Sentry和Hue实现Hive权限控制（非认证情况）

weixin_33022765的博客

03-14

1243

基于Sentry和Hue实现Hive权限控制（非认证情况）目录基于Sentry和Hue实现Hive权限控制（非认证情况）1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。在此之前，需要明确：CDH平台中的安全，认

加入sentry后hive HMS的canary时间较长问题

hcq_lxq的博客

12-09

1610

异常问题：给CDH6.3添加完sentry之后，使用创建的用户登录beeline,创建表的时候，操作需要 200s 多完成，查询数据没有问题。CH界面显示hive HMS的canary时长居高不下。创建测试表花费200s CM界面上hive的HMS Canary持续时间很长：原因：因为是上sentry的时候出现的情况，所以应该是sentry信息同步的消息过慢；HMS 会实时向 Sentry 同步Notifications 请求，当需要大...

海豚dolphinscheduler-shell 执行hivesql任务 Permission denied 异常

永青技术博客

04-20

1910

关键异常：/tmp/dolphinscheduler/hive.log (Permission denied) java.io.FileNotFoundException: /tmp/dolphinscheduler/hive.log (Permission denied)异常明细：

hue sentry界面配置步骤

huguoping830623的专栏

11-11

3785

一、sentry CDH配置 1、hive的配置绕过 Sentry 授权用户 sentry.metastore.service.users 要修改元数据表的用户要配置到这个里面，如下面的biadmin 2、impala配置二、 Sentry授权 1、在l

hive使用时的用户权限问题

v15220的博客

12-11

3948

Execution Error, return code 1 from; ljr is not allowed to add roles; Permission denied: Principal [name=ljr, type=USER] does not have following privileges for operation GRANT_PRIVILEGE; 解决办法： 1、在hive-site.xml中指定超级管理员 2、通过beeline以ljr用户进入hive执行相关操作

基于 Sentry Hive 权限控制命令详解

jast

08-11

6425

Sentry不支持Hive CLI列权限管理，建议禁用Hive CLI。（也不支持SparkSql列权限管理） #权限分为 SELECT ,INSERT ,ALL #查看所有role show roles; #创建role create role role_name; #删除role drop role role_name; #将某个数据库读权限授予给某个role GRAN...

CDH配置Sentry以及权限测试

热门推荐

qq_30982323的博客

06-15

1万+

在CDH中添加完Sentry服务后，需要更改一下hive配置才能通过beeline访问。第一，修改Hive下的HiveServer2配置，如下所示：将HiveServer2 Load Balancer中的admin去掉和HiveServer2 启用模拟的√去掉。这里的admin是默认的，跟前面配置有关，之前没有去掉直接导致beeline连接不上。更改后如下：第二，将Hive...

Cloudera Manager CDH Sentry 授权

跟着大数据和AI去旅行

01-25

4969

一、Sentry CDH配置安装Sentry 使用Cloudera Manager来安装，非常简单，需要注意的是安装前要在/opt/cloudera/parcels/CDH/jars目录下放入MySQL的驱动包。添加服务 –> Sentry Sentry Database Create: #为Sentry建数据库sentry mysql>create datab

sentry服务后，几个权限问题

空中的鱼

03-10

700

以账户bi为例 [b]问题一[/b]：账户bi beeline ldap后，对于外联表需要外联/user/bi目录下的数据。解决：根据sentry文档，需要给/user/bi授权uri ALL权限。 GRANT ALL ON URI 'hdfs://172.20.0.71:8020/user/bi' TO ROLE user_bi_all_role;解决之 [b]问题二[/b...

操作hive表的时候报错：权限不够等权限问题，以及如何修改hive表的权限。

li793829630的博客

12-28

6134

我们一般在公司中进行hive上面的表的操作的时候，经常会碰见权限不够的问题：上面这些错误就是说明我们当前用户的权限不够了。这个时候，你要通知一些有管理员权限的人员或者账号去赋权。具体操作步骤如下：例子：假设我用的是test用户 1 show create table xx你的表名xx 然后你会得到下面的信息 CREATE TABLE `tablename`( `month_id` string COMMENT '', `day_id` string, `part_id` str

关于Sentry

步步为赢的专栏

01-03

780

http://blog.youkuaiyun.com/largetalk/article/details/8640854 1. Sentry介绍及使用 Sentry isa realtime event logging and aggregation platform. At its core it specializesin monitoring errors and extracting al

Hive启用Sentry后的Yarn资源池限制配置

这是因为启用Sentry后，所有的Hive操作都会以hive用户身份执行，因此，即使用户本身无权提交到某个队列，hive用户也应该有权限，这样才能保证Sentry权限控制的正确性。接下来，文档提到的关键步骤是禁用Hive指定...