加入sentry后普通用户访问hdfs文件权限问题

最新推荐文章于 2023-03-07 18:08:09 发布
原创 最新推荐文章于 2023-03-07 18:08:09 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hdfs #hadoop #big data

本文探讨了在集成LDAP和Sentry权限控制后,如何为普通用户hadoopuser设置读写权限于HDFS的/user/hive/warehouse目录,包括尝试使用setfacl失败,加入hive组并授权的过程,以及服务器间的权限同步需求。

问题:

        加入LDAP和sentry控制权限后,在每台服务器中添加了普通用户,例如hadoopuser,在hadoopuser下执行su - u hadooouser hdfs dfs -ls /user/hive/warehouse报错,报错信息如下。

ls: Permission denied: user=hadoopuser, access=READ_EXECUTE, inode="/user/hive/warehouse":hive:hive:drwxrwx--x

分析思路:

        由于增加了sentry权限管控,像平时的chmod去修改文件权限都是不会生效的。

通过   -getfacl    查看hadoopuser根本不在管控的权限中。通过如下命令添加权限一样不生效

hdfs dfs -setfacl -m user:hadoopuser:rwx  /user/hive/warehouse

[root@hadoopap ~]# hadoop fs -getfacl /user/hive/warehouse
# file: /user/hive/warehouse
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:hive:rwx
mask::rwx
other::--x

于是想着把hadoopuser 添加到hive组中应该就可以了吧

在一台服务器上把普通用户添加到hive组,让其拥有hive一样的权限。

usermod  -G hive hadoopuser

再次执行su - u hadooouser hdfs dfs -ls /user/hive/warehouse 仍然权限不足。

其实加入sentry,只能通过添加用户到用户组,再belline中授权的方式实现;以上思路没有问题,最后才发现,需要把每台服务器hadoopuser用户都要添加到hive组中才会有效

Cloudera Manager集群(CDH6.2.0.1)完整搭建指南
打造全国最全的AI Agent开发知识领域的博客
08-25 5935
引子 啊,大数据! 其实并不难,难的是你“愿不愿意学”。因此我们以一篇大数据的环境搭建来入门。 2005年,会在redhat 7上搭建oracle,搭完跑通,就能拿到5000块钱。因此,在那时流行着一句话:如何学linux?在linux上会装oracle了你就会linux了。 那么大数据的安装将是在linux上安装10几个乃至几十个oracle的工作量,涉及到的知识之广,分门别类。在此,我以一文将这些知识点全部串通起来,使得按照此文安装的人员可以迅速在1天内即完成大数据集群的安装以及了解到一些相关的
聊聊HDFS的权限访问控制
走在前往架构师的路上
01-01 2920
文章目录前言典型场景:权限信息不一致情况 前言 我们都知道HDFS文件系统的访问控制由其内部目录,文件的权限所控制,和Linux文件系统一致。但是当出现HDFS和别的组件进行关联使用时,我们是否还能做到预期的控制效果呢?比如Hive和HDFS的使用,Hive也有它自己独立一套的用户权限体系。本文笔者来简单聊聊HDFS的权限访问控制,我们不聊最简单的情况,只聊那些在生产中实际可能会遇到的场景。 典...
Sentryclickhouse部署
屈帅波的技术博客
03-12 896
部署ck的时候需要注意版本以及时区的问题,这两块有问题会导致整体sentry的事件显示有问题 #下载安装包: wget https://repo.yandex.ru/clickhouse/rpm/stable/x86_64/clickhouse-client-20.3.9.70-2.noarch.rpm wget https://repo.yandex.ru/clickhouse/rpm/stable/x86_64/clickhouse-common-static-20.3.9.70-2.x86_64.
Sentry 后端云原生中间件实践 ClickHouse PaaS ,为 Snuba 事件分析引擎提供动力
o__cc的博客
02-13 835
目录(脑图) ClickHouse PaaS 云原生多租户平台(Altinity.Cloud) 官网:https://altinity.cloud PaaS 架构概览 设计一个拥有云原生编排能力、支持多云环境部署、自动化运维、弹性扩缩容、故障自愈等特性,同时提供租户隔离、权限管理、操作审计等企业级能力的高性能、低成本的分布式中间件服务是真挺难的。 SaaS 模式交付给用户 Sentry ...
hadoop问题解决 Permission denied: user=root, access=READ_EXECUTE, inode=“
王小二的博客
08-25 1487
hadoop问题解决 Permission denied: user=root, access=READ_EXECUTE, inode="
cdhhdfs sentry权限同步
wflh323的专栏
03-29 3768
集群开启sentry进行hive表权限管理后,sentry权限没有同步到hdfs上导致还需要给hdfs授权,为了简化也许会将hdfs目录授权为777,但这样又存在安全风险。下面介绍下在cdh集群开启hdfs sentry权限同步。 1.将sentry 管理用户在linux系统上加入hive 组,非hive组用户权限同步会有问题。 usermod -a -G hive user 2....
数据权限授权管理框架:Apache Sentry 集成HDFS测试使用(三)
毛毛的博客
07-15 1656
本文已使用CDH集成了sentry未使用kerberos SentryHadoop ACL Sync 这些客户端中,HDFS的client比较特殊;因为已经在hive中设置了sentry权限,hive本身就是访问hdfs文件,为什么还要在hdfs层再做权限控制呢?这是因为除了hive可以直接访问hdfs的文件之外,还有Map-Reduce程序,pig,spark等可以访问hdfs,所以只是在hive层面去做是不够的; 在cloudera中可以通过配置hdfs的Enable Sentry Synchroni
Hive/impala的kerberos和sentry相关问题
terrorblade1235的博客
08-04 3143
self application通过kerbeos认证的四种方式Simple Hadoop Client 这种方法不包含任何的认证,他依赖于当前机器已经取得TGT,这对于服务或者需要长时间运行的程序不适用,因为TGT可能会过期。每个用户在使用时都需要kinit先获取TGT Service Account Authorization 这种方法为Kerberos创建一个service account(服
cdh平台上创建新用户
kergp9991的博客
04-10 5390
操作背景 cdh平台一般上使用root去安装平台,hadoop中权限是使用hdfs用户去操作的。所以常常会出现用户访问权限问题,如下图,权限没有配置好,即使使用root用户也会有权限问题。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZQp4c5gZ-1586510736131)(44A9CF2E0B514AA4AA07AB35C5CB5B23)] 尝试修改 添加...
吐血整理出来的大数据知识点,你掌握多少?
啊晨
08-28 2809
文章目录写在前面正片语言工具类Java实现线程的两种方式集合List集合ArrayListLinkedListSet集合HashSet二叉查找树TreeSetLinkedHashsetMap集合TreeMapHashTableJVM方法区:(被加载的信息,常量,静态变量编译后的代码等数据)虚拟机栈:(java方法服务,储存局部变量方法出口等)本地方法栈堆(对象实例创建,垃圾回收操作)程序计数器Java自带哪几种线程池?(4)HashMap和HashTable区别TreeSet和HashSet区别String
从入门到精通 - Fayson带你玩转CDH
Hadoop_SC的博客
09-22 4284
Fayson保持每天推一篇文章,本文随之每天更新。 以下所有文章均为超链接,可以直接点击文章名跳转。 还没附上超链接的文章是还没上传的,会再后续更新后陆续补上 1.规划设计 1.1.on-premise部署规划 0001-《CDH网络要求(Lenovo参考架构)》 0062-《如何为Hadoop集群选择正确的硬件》 0158-《如何给Hadoop集群划分角色》 1.2.on private c...
sentry 权限简介
05-18
sentry 授权 hadoop设置 控制数据访问 Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。
sentry权限控制
weixin_43866666的博客
03-07 1414
Apache Sentry是一个可以对Hadoop集群中的数据及元数据进行细粒度管理的权限管理系统。Sentry目前可以与ApacheHive,HiveMetastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)等进行集成,对其数据进行权限管理
hdfs sentry acl权限同步失效
wflh323的专栏
05-10 2858
集群开启hdfs sentry acl权限同步,一直很稳定的运行,某天突然出现hive权限问题,hive通过hs2 访问的不受影响,hive cli访问全部失败(不推荐使用hive cli 命令),其它任务访问hive表路径失败,用hdfs getfacl命令查看,权限同步目录acl全部失效,集群基本无法访问,查看sentry,hive正常, 日志都没有异常信息,查看namenode日志出...
Sentry 授权
张伟的专栏
08-26 1129
文章目录 前言一、架构概述1.Sentry 组件2.主要概念3.User身份和Group映射4.基于roles的访问控制5.统一授权 二、SentryHadoop生态系统的集成1.Hive and Sentry2.Impala and Sentry2.Sentry-HDFS同步3.Search and Sentry4.Authorization Administration1.Disabling Hive CLI2.使用Hue管理Sentry 权限 总结 前言 sentry是Hadoo...
访问HDFS的权限问题:Permission denied: user=xxx, access=WRITE, inode=“xxxxxxxx“:
番茄炒蛋三分糖
06-10 1480
今天在 idea 中写 scala 的代码访问服务器的 HDFS,报访问HDFS的权限问题:Permission denied: user=xxx, access=WRITE, inode="xxxxxxxx"的错误,如下图所示: 从报错的内容看,idea将访问服务器的用户名默认为电脑本地的用户名,而远程服务器上并没有这个用户,就更不能操作HDFS了,因此需要修改为服务器上的可以操作HDFS用户名。在代码的入口进行用户名的配置, 一般设置为root就可以,这个看服务器上的具体配置而定。 我的服务器上HDF
hdfs的文件访问控制
iteye_423的博客
03-14 510
这两天准备研究一下hadoop的文件访问控制。先从hdfs访问控制来说。 这篇文章很简单,主要是提醒自己以及各位注重hdfs上面的访问控制。 在hdfs上面的文件以及文件目录的访问控制,跟操作系统的访问控制是一样的,posix文件系统的权限控制模型一样。我只讲怎么验证: [code="java"] drwxrwxrwx - hadoop root 0...
HDFS的文件访问控制
海量数据存储与分析
11-13 7130
 HDFS对文件和目录的访问控制模型和Linux也很相似。  HDFS有三种权限类型:读(r),写(w),执行(x)。读写权限和一般的文件系统类似,HDFS忽略对于文件的执行权限,用户一定要 拥有对目录的x权限才能访问目录的文件或者子目录。  每个文件或者目录都有一个mode,owner,group。下面的命令列出了用户目录(ls命令后面不带任何信息表示用户目录)下的目录和文件信息
HDFS中的文件访问权限
遥望......
02-03 1464
1.超级用户:启动namenode服务的用户就是超级用户, 该用户的组是supergroup,对于超级用户,系统不会执行任何权限检查,每个文件和目录都有所属用户、所属组别、模式。这个模式是由所属用户的权限、组内成员的权限以及其他用户的权限组成。 2.文件权限管理 文件或者目录被创建之时,服从BSD规则,owner是客户端进程的用户,group是父目录的group 3.访问权限说明 obje...
每个用户hdfs副本的写入权限不一样
最新发布
11-27
# Hive中管理HDFS副本写入权限的差异化控制方案 在Hadoop生态系统中,Hive表数据实际存储在HDFS上,而用户HDFS副本的写入权限可以基于不同用户进行差异化配置。以下是专业解决方案: ## 1. 权限分层控制架构 ``` 应用层权限控制 ├── Hive SQL权限 (GRANT/REVOKE) ├── HDFS ACL权限 (setfacl) └── Linux文件系统权限 (chmod) ``` ## 2. HDFS ACL精细化控制 ### (1) 基础ACL设置命令 ```bash # 查看当前ACL hdfs dfs -getfacl /user/hive/warehouse/mytable # 设置用户特定写入权限 hdfs dfs -setfacl -m user:user1:rwx /user/hive/warehouse/mytable hdfs dfs -setfacl -m user:user2:r-x /user/hive/warehouse/mytable # 设置默认ACL(影响新创建文件) hdfs dfs -setfacl -m default:user:user1:rwx /user/hive/warehouse/mytable ``` ### (2) Hive表目录权限初始化 ```sql -- 创建表时指定HDFS权限 CREATE TABLE mytable (id INT) LOCATION '/user/hive/warehouse/mytable' TBLPROPERTIES ( 'hive.hdfs.acl'='user::rwx,user:user1:rwx,user:user2:r-x,group::r-x,other::---', 'hive.hdfs.acl.default'='user::rwx,user:user1:rwx,user:user2:r-x,group::r-x,other::---' ); ``` ## 3. 基于Hive Hook的动态权限控制 实现`DriverRunHook`在查询执行前后动态调整权限: ```java public class AclControlHook implements DriverRunHook { @Override public void postDriverRun(HookContext hookContext) { String user = hookContext.getUgi().getShortUserName(); String tablePath = hookContext.getTable().getPath().toString(); // 根据用户设置不同ACL if(user.equals("user1")) { ShellCmdUtil.run("hdfs dfs -setfacl -m user:"+user+":rwx "+tablePath); } else { ShellCmdUtil.run("hdfs dfs -setfacl -m user:"+user+":r-x "+tablePath); } } } ``` 配置`hive-site.xml`: ```xml <property> <name>hive.exec.driver.run.hooks</name> <value>com.example.AclControlHook</value> </property> ``` ## 4. Sentry/Ranger集成方案 使用Sentry配置精细化HDFS访问策略: ```xml <!-- sentry-site.xml --> <property> <name>sentry.hive.integration</name> <value>true</value> </property> <property> <name>sentry.hdfs.integration</name> <value>true</value> </property> <property> <name>sentry.hdfs.allow.acl.inheritance</name> <value>true</value> </property> ``` ## 5. 权限继承与覆盖规则 1. **显式ACL优先**:直接设置的ACL优先于默认ACL 2. **最近匹配原则**:精确到文件的权限设置覆盖目录级设置 3. **拒绝优先**:DENY权限覆盖ALLOW权限 4. **Hive权限与HDFS权限关系**: - Hive的GRANT只控制元数据权限 - 实际文件操作需要HDFS权限配合 - 最终权限取两者交集 ## 6. 最佳实践建议 1. **权限模板化**:为不同角色创建权限模板 ```bash # 管理员模板 hdfs dfs -setfacl -x user:admin:rwx template_admin # 分析师模板 hdfs dfs -setfacl -x user:analyst:r-x template_analyst ``` 2. **定期权限审计** ```bash # 查找权限不一致的文件 hdfs dfs -ls -R /user/hive | awk '{print $8}' | xargs -I {} hdfs dfs -getfacl {} | grep -v "^#" | sort | uniq -c ``` 3. **自动化权限修复** ```python # 用Python脚本同步Hive元数据权限和HDFS ACL for table in hive_client.get_tables(): hdfs_path = table.get_location() acl = generate_acl_based_on_hive_perms(table) subprocess.run(f"hdfs dfs -setfacl -R {acl} {hdfs_path}", shell=True) ``` 4. **测试环境验证** ```sql -- 使用EXPLAIN验证权限 EXPLAIN EXTENDED INSERT INTO TABLE target_table SELECT * FROM source_table; -- 检查输出的HDFS路径权限 ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值