四、openldap整合hive

最新推荐文章于 2023-12-25 16:51:08 发布
原创 最新推荐文章于 2023-12-25 16:51:08 发布 · 2.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openldap #hive #大数据 #用户管理

本文详细介绍如何在HiveServer2中配置LDAP鉴权,包括创建LDAP用户和组,设置访问权限,以及在hive-site.xml中添加配置。通过具体步骤和命令,确保客户端能使用用户名和密码登录Hive。

一、配置整合hive用户

适合cdh5.7.6+的版本的hive,cdh5.5.0版本的hive会出现如下问题:

2018-08-23 13:59:48,304 ERROR [HiveServer2-Handler-Pool: Thread-29]: transport.TSaslTransport (TSaslTransport.java:open(315)) - SASL negotiation failure
javax.security.sasl.SaslException: Error validating the login [Caused by javax.security.sasl.AuthenticationException: LDAP Authentication failed for user [Caused by javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN]]]
at org.apache.hive.service.auth.PlainSaslServer.evaluateResponse(PlainSaslServer.java:109)
at org.apache.thrift.transport.TSaslTransportSaslParticipant.evaluateChallengeOrResponse(TSaslTransport.java:539)atorg.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:283)atorg.apache.thrift.transport.TSaslServerTransport.open(TSaslServerTransport.java:41)atorg.apache.thrift.transport.TSaslServerTransportSaslParticipant.evaluateChallengeOrResponse(TSaslTransport.java:539) at org.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:283) at org.apache.thrift.transport.TSaslServerTransport.open(TSaslServerTransport.java:41) at org.apache.thrift.transport.TSaslServerTransportSaslParticipant.evaluateChallengeOrResponse(TSaslTransport.java:539)atorg.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:283)atorg.apache.thrift.transport.TSaslServerTransport.open(TSaslServerTransport.java:41)atorg.apache.thrift.transport.TSaslServerTransportFactory.getTransport(TSaslServerTransport.java:216)
at org.apache.thrift.server.TThreadPoolServerWorkerProcess.run(TThreadPoolServer.java:268)atjava.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)atjava.util.concurrent.ThreadPoolExecutorWorkerProcess.run(TThreadPoolServer.java:268) at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142) at java.util.concurrent.ThreadPoolExecutorWorkerProcess.run(TThreadPoolServer.java:268)atjava.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)atjava.util.concurrent.ThreadPoolExecutorWorker.run(ThreadPoolExecutor.java:617)
at java.lang.Thread.run(Thread.java:748)
Caused by: javax.security.sasl.AuthenticationException: LDAP Authentication failed for user [Caused by javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN]]
at org.apache.hive.service.auth.LdapAuthenticationProviderImpl.Authenticate(LdapAuthenticationProviderImpl.java:266)
at org.apache.hive.service.auth.PlainSaslHelper$PlainServerCallbackHandler.handle(PlainSaslHelper.java:106)
at org.apache.hive.service.auth.PlainSaslServer.evaluateResponse(PlainSaslServer.java:102)
… 8 more
Caused by: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN]
at com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:3077)
at com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:2883)
at com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2797)
at com.sun.jndi.ldap.LdapCtx.(LdapCtx.java:319)
at com.sun.jndi.ldap.LdapCtxFactory.getUsingURL(LdapCtxFactory.java:192)
at com.sun.jndi.ldap.LdapCtxFactory.getUsingURLs(LdapCtxFactory.java:210)
at com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxInstance(LdapCtxFactory.java:153)
at com.sun.jndi.ldap.LdapCtxFactory.getInitialContext(LdapCtxFactory.java:83)
at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:684)
at javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:313)
at javax.naming.InitialContext.init(InitialContext.java:244)
at javax.naming.InitialContext.(InitialContext.java:216)
at javax.naming.directory.InitialDirContext.(InitialDirContext.java:101)
at org.apache.hive.service.auth.LdapAuthenticationProviderImpl.Authenticate(LdapAuthenticationProviderImpl.java:159)
… 10 more

hiveserver2可以使用kerberos或者ldap进行鉴权。hiveserver2使用ldap进行鉴权,客户端访问hiveserver则可以使用用户名和密码进行校验登入hiveserver2。通过hive进行登入需注意用户具有登入权限,编辑hive_user.ldif配置文件。

#添加hive分支,用于存放hive相关用户和组信息
dn: ou=hive,dc=bigdata,dc=ly
ou: hive
objectClass: top
objectClass: organizationalUnit
​
#添加hive用户分支
dn: cn=People,ou=hive,dc=bigdata,dc=ly
cn: People
objectClass: organizationalRole
​
#FLIGHTDAP账户
dn: uid=fight,cn=People,ou=hive,dc=bigdata,dc=ly
objectClass: inetOrgPerson
uid: fight
sn: fight
cn: fight
userPassword: {SSHA}oFRigOdzHpq7laDh6E+OOqJQT36gubNF
​
#biadminD账户
dn: uid=biadmin,cn=People,ou=hive,dc=bigdata,dc=ly
objectClass: inetOrgPerson
uid: biadmin
sn: biadmin
cn: biadmin
userPassword: {SSHA}oFRigOdzHpq7laDh6E+OOqJQT36gubNF
​
#train账户
dn: uid=train,cn=People,ou=hive,dc=bigdata,dc=ly
objectClass: inetOrgPerson
uid: train
sn: train
cn: train
userPassword: {SSHA}oFRigOdzHpq7laDh6E+OOqJQT36gubNF
​
#添加system分组,用户存储系统用户,提供外界访问的openldap用户
dn: cn=System,ou=hive,dc=bigdata,dc=ly
cn: System
objectClass: organizationalRole
​
#添加hive分组的只读权限
dn: uid=hive_read,cn=System,ou=hive,dc=bigdata,dc=ly
objectClass: inetOrgPerson
uid: hive_read
sn: hive_read
cn: hive_read
userPassword: {SSHA}oFRigOdzHpq7laDh6E+OOqJQT36gubNF
​
#添加hive分组的读写权限
dn: uid=hive_write,cn=System,ou=hive,dc=bigdata,dc=ly
objectClass: inetOrgPerson
uid: hive_write
sn: hive_write
cn: hive_write
userPassword: {SSHA}oFRigOdzHpq7laDh6E+OOqJQT36gubNF

执行如下命令,将gp的账户信息导入到openldap中:

ldapadd -x -D "cn=admin,dc=bigdata,dc=ly" -w 1234 -f hive_user.ldif -H ldap://10.100.203.117:18888

配置ou=hive,dc=bigdata,dc=ly条目数据的访问权限,编辑文件hive_acl.ldif文件,添加内容如下,设置用户uid=hive_read,cn=System,ou=hive,dc=bigdata,dc=ly对ou=hive,dc=bigdata,dc=ly只用只读权限,uid=hive_write,cn=System,ou=hive,dc=bigdata,dc=ly有读写权限。

dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: to dn.subtree="ou=hive,dc=bigdata,dc=ly"
    by dn.base="uid=hive_read,cn=System,ou=hive,dc=bigdata,dc=ly" read
    by dn.base="uid=hive_write,cn=System,ou=hive,dc=bigdata,dc=ly" write
    by dn.children="cn=People,ou=hive,dc=bigdata,dc=ly" read
    by * auth

执行如下命令,将配置导入到配置文件中去:

ldapmodify -x -D "cn=config" -w 1234 -f hive_acl.ldif -H ldap://10.100.203.117:18888

二、配置整合hive

hiveserver2可以使用kerberos或者ldap进行鉴权。hiveserver2使用ldap进行鉴权,客户端访问hiveserver则可以使用用户名和密码进行校验登入hiveserver2。在hive-site.xml配置文件中添加如下内容

<property>
  <name>hive.server2.authentication</name>
  <value>LDAP</value>
</property>
<property>
  <name>hive.server2.authentication.ldap.url</name>
  <value>ldap://10.100.203.117:18888</value>
</property>
<property>
  <name>hive.server2.authentication.ldap.baseDN</name>
  <value>cn=People,ou=hive,dc=bigdata,dc=ly</value>
</property>

重启hiveserver2。

nohup hive --service hiveserver2 &

使用beeline连接hiveserver2。

$HIVE_HOME/bin/beeline
!connect jdbc:hive2://10.100.110.194:10000
#或者使用如下方法
$HIVE_HOME/bin/beeline -u jdbc:hive2://10.100.110.194:10000 -n train -p 1234
基于0.14.0版本配置HiveServer2
Hello World
05-01 4443
配置hiveserver2,基于kerberos认证,使用0.14.0版本,记录中间遇到的问题和访问方式
启用Kerberos的Hive操作失误解决
邢为栋
05-12 7523
启用了kerberos,需要使用hive主体权限进行授权,但是开始没找到hive主体的keytab,于是决定使用kadmin.local的ktadd命令为hive主体创建一个keytab,创建之后,可以通过keytab使用hive主体权限了,通过beeline连接hive,但是报错GSS initiate failed,突然心一凉,直觉告诉我,玩脱了。。。 查看hive服务,出现告警,查看metastore日志,报错如下: 2020-05-09 15:43:34,632 ERROR org.apache.t
开启 Kerberos 安全认证的大数据环境中如何正确指定 HS2 的 jdbc url 地址?
明哥的IT随笔
09-25 658
开启 Kerberos 安全认证的大数据环境中如何正确指定 HS2 的 jdbc url 地址? 1 Kerberos 环境中 HS2 的认证方式概述 大家知道,HIVE 的认证方式可以通过参数 hive.server2.authentication 在服务端进行统一配置,而在开启了 Kerberos 安全认证的大数据环境中: 我们可以配置 hive.server2.authentication=kerberos,代表配置 HS2 使用 Kerberos安全认证; 我们可以配置 hive.server2.
CDH6.3.2之Kerberos安全认证
ytp552200ytp的博客
11-12 2362
问题导读: 1、Kerberos认证原理是什么? 2、Kerberos如何部署? 3、CDH集群如何启用Kerberos?4、如何在Kerberos安全环境使用HFDS? 01 PART Kerberos简介 Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、...
troubleshooting-Kerberos 鉴权异常
dianjun2454的博客
09-23 3429
ERROR transport.TSaslTransport: SASL negotiation failurejavax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to f...
快速搭建 LDAP 服务器与Hive集成
Little_fxc的博客
12-20 1867
快速搭建 LDAP 服务器与Hive集成 1 前言 LDAP (Lightweight Directory Access Protocol) 是轻型目录访问协议,以目录形式存储信息(基于目录的数据库),具有良好的读性能。 本文的目的是帮助你快速搭建 LDAP 服务器。 本文所使用的服务器是 centos7 2 关闭防火墙 首先使用systemctl status firewalld确认防火墙是否打开,如过打开,则关闭: systemctl stop firewalld systemctl disable f
hue集成hive详解
weixin_41403819的博客
09-07 1498
1、下载hue压缩包 下载的方式很多,可以根据自己的偏好选择下载方式 2、解压:tar -zxvf 下载的压缩包 -C 指定的目录 3、搭建hue运行环境 hue是用Python语言,需要Py环境 yum search python | grep -i devel (找到对应的python-devel) yum install python-devel.x86_64 然后在/root/apps/...
HUE安装及集成mysql,hive,zookeeper,hbase
weixin_47340211的博客
06-06 655
大数据可视化工具hue的安装及集成过程
3.2.1.3 Hive, 调优策略(架构/参数/SQL) , Hive案例; 数据交互工具HUE, 概述, 安装,整合Hadoop/Hive
chengh1993的博客
12-29 995
目录 第十部分 Hive调优策略 第 1 节 架构优化 执行引擎 优化器 分区表 分桶表 文件格式 数据压缩 第 2 节 参数优化 本地模式 严格模式 JVM重用 并行执行 推测执行 合并小文件 Fetch模式 第 3 节 SQL优化 列裁剪和分区裁剪 sort by 代替 order by group by 代替 count(distinct) group by 配置调整 join 基础优化 第 4 节 优化小结 第十一部分 Hive案例 第 1 节 需求
一篇文章彻底理解 HIVE 常见的三种 AUTHENTICATION 认证机制的配置与使用
明哥的IT随笔
01-05 3452
一篇文章彻底理解 HIVE 常见的三种 AUTHENTICATION 认证机制的配置与使用大家好,我是明哥!本片博文,分享下 HIVE 常见的三种 AUTHENTICATION 认证机制,...
远程请求访问Hadoop集群时报错:No common protection layer between client and server
最新发布
weixin_42603182的博客
12-25 1452
这个错误是自己这边和对方的rpc通讯加密层设置不一致所致,需要保证自己这边与对方的 hadoop core-site.xml配置文件中。需要将自己这边的数据中台与对方的hive中台进行连接,在kerberos文件认证与身份认证等通过后,参数设置保持一致,如同为。
Hadoop运维记录系列(十九)
weixin_34346099的博客
05-05 496
Kerberos保护下的Hive排错记录,5月14日,Megadeth北京见。同事想在zeppelin里面使用Hive,这是在新的kerberos保护下的集群里第一次使用Hive,不幸的是,使用过程中还是出现了验证授权的问题,所以我不得不去排查问题。Hive的客户端服务器已经安装的hadoop-client,并且把所有需要的keytabs文件都放到了配置文件夹下且设置了正确的权限。但是仍然无法连接...
通过jdbc连接hive
weixin_34253539的博客
03-07 601
目前使用hive的方式主要有2种: a、仅把hive作为一个可以对文件使用sql查询的工具来使用,即常见的在hive客户端上,指定hive的metastore和hive的数据仓库目录(即hdfs目录),然后指定hadoop的目录以及相应执行的jar包即可,在命令行下调用: 1 mammut@classb-ds-bigdata16:~/apache-hive-1.2.1-bin$ bin...
Spark SQL Thrift Server 配置 Kerberos身份认证和权限管理
weixin_30315435的博客
10-25 1285
 转载请注明出处:http://www.cnblogs.com/xiaodf/   之前的博客介绍了通过Kerberos + Sentry的方式实现了hive server2的身份认证和权限管理功能,本文主要介绍Spark SQL JDBC方式操作Hive库时的身份认证和权限管理实现。  ThriftServer是一个JDBC/ODBC接口,用户可以通过JDBC/ODBC连接Thrift...
HiveServer2(Spark ThriftServer)自定义权限认证
微步的博客
04-03 6606
Hive除了为我们提供一个 CLI 方式来查询数据之外,还给我们提供了基于 JDBC/ODBC 的方式来连接Hive,这就是HiveServer2(HiveServer)。但是默认情况下通过 JDBC 连接 HiveServer2 不需要任何的权限认证(hive.server2.authentication = NONE);这意味着任何知道 ThriftServer 地址的人都可以连接我们的...
Specified version of key is not available (44)
weixin_34401479的博客
01-03 211
2019-01-02 14:14:45,161 ERROR [HiveServer2-Handler-Pool: Thread-37]: transport.TSaslTransport (TSaslTransport.java:open(315)) - SASL negotiation failure javax.security.sasl.SaslException: GSS initiat...
Driver
weixin_45007073的博客
01-01 1596
信息收集 发现目标主机开放了web服务和SMB服务 ┌──(root????kali)-[~/Desktop] └─# bash nmap.sh 10.10.11.106 1 ⚙ Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-01
springboot 访问 HIVE 出错
u013516079的博客
12-20 1359
org.apache.hadoop.ipc.RemoteException: Operation category WRITE is not supported in state standby at org.apache.hadoop.hdfs.server.namenode.ha.StandbyState.checkOperation(StandbyState.java:87)...
java数据流编辑 kylo,kylo问题总结1
weixin_28909503的博客
03-22 721
kylo问题总结1Spark configurationcp /etc/hive/conf/hive-site.xml /etc/spark/conf/hive-site.xml# Snappy isn't working well for Spark on Clouderaecho "spark.io.compression.codec=lz4" >> /etc/spark/conf...
openldap整合springboot
07-15
要在Spring Boot中整合OpenLDAP,你可以按照以下步骤进行操作: 1. 添加依赖:在你的Spring Boot项目pom.xml文件中添加OpenLDAP的Java客端库依赖。,可以使用UnboundID LDAP SDK等库来进行OpenLDAP的操作。 ```xml...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值