cloudera新增用户权限配置

最新推荐文章于 2021-08-29 08:20:37 发布
原创 最新推荐文章于 2021-08-29 08:20:37 发布 · 403 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sentry #ldap #hue

本文介绍如何在Cloudera Hadoop环境中集成LDAP,实现用户及用户组管理,并通过Beeline客户端和Hue界面访问受限制的HDFS路径及Hive数据库。详细步骤包括配置Hive Server2以使用LDAP认证、解决同步问题、配置Kerberos以及测试权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目标:

给各个业务组提供不同用户及用户组,并有限制的访问hdfs路径,及hive数据库。

前提:

cloudera

cloudera manager

kerberos

ldap

sentry

问题与解决:

  • hive client直走hive的本地模式,没有经过hiveserver2,所以此种方式能访问所有的数据库,具有超级管理员权限;考虑使用beeline形式。

    登陆方式例如:

     

    beeline -u "jdbc:hive2://172.20.0.74:10000/data_system" -nhive -p111111(ldap账户及密码)

     

    或者

     

    beeline
!connect jdbc:hive2://172.20.0.74:10000/data_system;principal=hive/slave-74@YEAHMOBI.COM

     输入kerberos账户及密码。

     

  • hue版本3.6.0不支持hive ldap,hue会提示不没有hive server2服务,参考issue

     

    cd /opt/cloudera/parcels/CDH/lib/hue
patch -p1 < /path/to/downloaded/hue-2484.patch
     hive所有advanced safety value中加上配置:

     

     

    <property>
  <name>hive.server2.authentication</name>
  <value>LDAP</value>
</property>
     restart Hue

     

    未解决问题:hue账户未能与ldap账户同步。

步骤:
  1. 收集用户及用户组,及对个个库的访问权限。例如bi组对bi库有读写权限及对其他库具有读权限。
  2. 所有节点增加用户和用户组
    useradd bi -u 1001
usermod -a -G bi bi
     (所有节点都需要创建,而且uid必须一致)
  3. ldap增加账户及账户组
    grep -E "dsp:|dmp:" /etc/passwd  >/opt/passwd.txt    
/usr/share/migrationtools/migrate_passwd.pl /opt/passwd.txt /opt/passwd.ldif
ldapadd -x -D "uid=ldapadmin,ou=people,dc=yeahmobi,dc=com" -w secret -f /opt/passwd.ldif
grep -E "dsp:|dmp:" /etc/group  >/opt/group.txt
/usr/share/migrationtools/migrate_group.pl /opt/group.txt /opt/group.ldif
ldapadd -x -D "uid=ldapadmin,ou=people,dc=yeahmobi,dc=com" -w secret -f /opt/group.ldif
ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=yeahmobi,dc=com' -w secret "uid=dsp,ou=people,dc=yeahmobi,dc=com" -S  
ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=yeahmobi,dc=com' -w secret "uid=dmp,ou=people,dc=yeahmobi,dc=com" -S   
ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=yeahmobi,dc=com' -w secret "uid=bi,ou=people,dc=yeahmobi,dc=com" -S
  4. hadoop中增加相应用户的目录及权限
    hadoop fs -mkdir /user/dsp
hadoop fs -chmod -R 755 /user/dsp
hadoop fs -chown -R dsp:dsp /user/dsp
  5. hive配置ldap
    若之前启用了sentry file形式的服务,需要将policy file based sentry enabled 设置成false,并且service wide中选择sentry service。
    service wide advanced safed value
    <property>
  <name>hive.server2.authentication</name>
  <value>LDAP</value>
</property>
<property>
  <name>hive.server2.authentication.ldap.url</name>
  <value>ldap://ip-10-1-33-20.ec2.internal</value>
</property>
<property>
  <name>hive.server2.authentication.ldap.baseDN</name>
  <value>ou=people,dc=yeahmobi,dc=com</value>
</property>
     gateway/metastory/hiveserver2 advanced safed value分别加上
     <property>
  <name>hive.server2.authentication</name>
  <value>LDAP</value>
</property>
     hue依赖于hive gateway的配置,即必须配置gateway,且修改后hue需要重启。
  6. 如上问题2
  7. hue设置ldap
    hue server advanced hue_safety_value_server.ini
    [desktop]
 ldap_username=hive
 ldap_password=111111
     并且选择sevice wide sentry service
  8. hdfs kerberos配置中增加hdfs的权限
    service wide security
    authorized user、groups设置成* 也行
  9. yarn增加用户的使用权限
    nodemanger group  security allowed system users
  10. 重启相关服务,cloudera manager会提示重启整个集群。
  11. hive server2和metastore启动失败,奇怪现象,测试环境中没有问题,正式环境中出现认证异常,只要加上ldap认证就会失败。
    解决办法,重新再别的节点配置新的hive sever2和metastore并且cm上创建新的group。
    注意此种解决方案,hue的配置中需要修改hive server2的路径。
  12. 授权,beeline中使用hive账户登陆和授权
    beeline -u "jdbc:hive2://172.20.0.74:10000/default" -nhive -p111111
CREATE ROLE admin_role ;
GRANT ALL ON SERVER server1 TO ROLE admin_role;
GRANT ROLE admin_role TO GROUP hive; 
  13. 权限测试,使用新账户登陆测试
    beeline -u "jdbc:hive2://172.20.0.74:10000/default" -nbi -p111111
    或者通过hue,新建对应账户,beeswax测试。(此处hue与ldap账户没有同步,同步失败,后续解决)
  14. 新增加的账户,若需要访问/user/hive/warehouse,即可能需要读取db下的表数据,进行mapreduce job,如上配置后,由于该目录设置的是771(sentry service要求的),新增账户没有访问权限,想到如下解决办法:
    a.将新增账户赋予hive为附加组(所有节点),经过测试可以访问该目录了,但sentry的grant授权没有效果了,即该账户继承了hive的超级权限,此方法失败。
    b.采用acl,hdfs开启dfs.namenode.acls.enabled,并hdfs执行如下命令:
       hadoop fs -setfacl -R -m user:bi:r-x  /user/hive/warehouse,测试是通过的,而且权限都正确。此步骤需要重启整个集群。参考http://www.cloudera.com/content/cloudera/en/documentation/core/latest/topics/cdh_sg_hdfs_ext_acls.html
  15. kerberos对新用户(bi)授权
    addprinc -randkey krbtgt/new_hostname@YEAHMOBI.COM
addprinc -randkey host/new_hostname@YEAHMOBI.COM 
addprinc -randkey HTTP/new_hostname@YEAHMOBI.COM 
addprinc -randkey bi/new_hostname@YEAHMOBI.COM
xst -norandkey -k bi.keytab host/new_hostname@YEAHMOBI.COM 
xst -norandkey -k bi.keytab HTTP/new_hostname@YEAHMOBI.COM
xst -norandkey -k bi.keytab bi/new_hostname@YEAHMOBI.COM
  16. mapreduce测试
    kinit -kt bi.keytab bi/new_hostname@YEAHMOBI.COM
    执行hadoop jar 测试
  17. jdbc测试,参见 git clone https://github.com/firecodeman/Cloudera-Impala-Hive-JDBC-Example.git
    mvn clean compile
mvn exec:java -Dexec.mainClass=com.cloudera.example.ClouderaHiveJdbcExample
【Linux】使用cloudreve搭建个人网盘并传输文件
2302_76195174的博客
04-06 3796
Cloudreve 是一个开源的个人网盘系统,能够帮助用户搭建属于自己的私有云存储服务。它支持多种存储后端,包括本地存储、远程FTP/SFTP存储、以及云存储服务如阿里云OSS、腾讯云COS和Amazon S3等。Cloudreve具有友好的用户界面和丰富的功能,比如文件管理、在线预览、团队协作和分享链接等。
Cloudera 6.0 安装以及服务验证和权限使用[更新中]
weixin_34388207的博客
02-15 219
准备工作 服务器3台 [centos7] cloudera安装脚本 验证机器的时间,大透明页,swap,阀值(当内存使用超过90在开始使用swap) 将脚本scp到执行节点(第一台即可) 开始安装CDH6 目录结构介绍 scp scp -r install-cdh root@172.17.0.195:/home/ 复制代码 执行脚本红色的是安装脚本, 绿色是安装产生的日志 执行...
大数据开发之CDH篇----cloudera-scm-agent启动不了后的一堆事
weixin_39702831的博客
08-23 9778
某次cloudera-scm-agnet系统启动不了 前几天添加磁盘的时候系统以外重启了,那个时候并没stop cloudera-scm-server和cloudera-scm-agent两个进程,导致了重新启动的时候cloudera-scm-server可以启动而cloudera-scm-agent无法启动。 使用命令: systemctl status cloudera-scm-agent得到...
cloudera manager下的hive权限配置
09-05 1756
公司运营、BI以及财务不同部门不同人员需要hive数据查询服务,所以需要分配不同的权限给相关人员 权限配置主要涉及两项: - 认证(authentication):验证用户所用的身份是否是对的 - 授权(authorization):验证用户所用身份操作是否有权限 cloudera集成的hive认证支持常用的LDAP和kerberos,授权使用的是他自家的sentrysentry目前还处
hue 用户权限分配
weixin_42885843的博客
12-24 4513
hue 用户权限分配 一、问题背景 CDH集群原来在使用hue部署oozie工作流的时候发现不能够运行工作流,因为当时hue创建用户时设置root为初始用户,而root用户不属于supergroup组,不能够调用集群中任何组件,为了解决这个问题,当时查参考了CDH权限不够,修改用户用户组为root 这篇文章的做法后面来看,只是治标不治本,并没有完全解决后面hue中如果设置其他用户后,其他用户所具...
ClouderaManager搭建Spark on yarn(spark 2.x)集群最详尽版
qq_20878845的博客
03-19 1930
0、组网(实验室资源有限,只能在同学电脑上安装虚拟机组)。 (1)买千兆以上路由器+六类以上网线+每台机器两块千兆网卡+4台物理机。 (2)用路由器连接集群机器,配置ip,路由器wan端,即后面配置机器时候的网关ip。(我个人配置成了10.10.10.1) (3)配置物理机网络。我是用的vmware虚拟机作为节点的,就以这样为例,先设置了物理机系统ip分别为10.10.10.10,10.10...
cloudera大数据平台搭建流程
yu_shao的博客
12-06 3226
  基础环境 软件环境 NO 软件名称 版本 1 操作系统 centos7 64位 2 jdk jdk-8u181-linux-x64.tar.gz 3 cloudera manager cloudera-manager-centos7-cm5.15.1_x86_64.tar.gz 4 cdh CDH-5.15...
Cloudera Manager数据库密码加密方案
wangkuangood3200的专栏
09-12 1054
背景: 由于Cloudera Manager使用的数据库账号密码信息保存在/etc/cloudera-scm-server/db.properties文件中,该文件中的com.cloudera.cmf.db.password为明文,因此考虑对其进行加密处理。 1、利用openssl进行AES/DES3加密解密 对字符串12345进行aes加密,使用密钥123(任意),输出结果以base64编...
cloudera manager中添加hive数据库使用mysql的配置步骤
06-20
cloudera manager中添加hive数据库使用mysql的配置的详细步骤
Cloudera Manager(简称CM)+CDH构建大数据平台
mantch
09-24 3437
标题一、Cloudera Manager介绍1.CM技术架构2.CM四大功能3.分析表格4.本教程使用虚拟机配置.服务器集群时间同步1.配置时间为中国的时区2.ntp时间同步服务器安装3.配置ntp4.启动ntp服务5.其它节点进行时间同步三、构建本地Cloudera yum源1.主节点安装http服务2.CM的tar包3.创建本地源四、设置SELINUX五、安装mysql数据库六、安装Clou...
超简单个人网盘搭建教程,宝塔面板安装Cloudreve 新版V3(go版本) – 支持本机、从机、七牛、阿里云 OSS、腾讯云 COS、又拍云、OneDrive (包括世纪互联版)
moshouhot的博客
08-29 6276
0、Cloudreve 是什么? Cloudreve 是个公有网盘程序,你可以用它快速搭建起自己的网盘服务,公有云/私有云都可。Cloudreve 底层支持 本机存储、从机存储、阿里云OSS、又拍云、腾讯云COS、七牛云存储、OneDrive(国际版/世纪互联版),每种存储方式的上传下载都是客户端直传。你可以为不同用户组绑定不同存储策略,捐助获得Pro版后,可以为一个用户组分配多个存储方式,用户可以在前台自由切换。 特性列表 支持本机、从机、七牛、阿里云 OSS、腾讯云 COS、又拍云、OneD...
cdh用户权限_cdh设置hdfs权限
weixin_33419305的博客
12-23 1614
通常会把 root 或者需要的用户添加到 supergroup组,但Linux下默认是没有supergroup组。# Linux下默认是没有supergroup组的# hadoop:x:994:hdfs,mapred,yarncat /etc/group# 查看hdfs用户的组是hadoop# hdfs:x:995:992:Hadoop HDFS:/var/lib/hadoop-hdfs:/sbi...
cdh用户权限_CDH权限不够,修改用户用户组为root
weixin_39968823的博客
12-23 1010
[------今天看了这篇文章 觉得对我们学习oracle 还是有很多帮助的,大家可以试着读读······· 这里将介绍Oracle修改用户权限的实现过程,包括一� ...]不知道大家有木有遇到过CDH中使用默认的用户用户组导致有些地方的文件权限操作和用户操作的各种问题。CDH默认安装的时候,会创建各种用户,hdfs,hive,spark,impala,sqoop等等的用户,但往往我们...
cloudera环境搭建
热门推荐
扣脚小生
09-04 1万+
一、cloudera背景介绍 Cloude Manager概述: CDH是Cloudera公司对整体hadoop集群环境进行监控与管理的企业级大数据管理平台。 Cloudera Manager分为: Cloudera Manager Server:对整个集群提供监控与管理操作。Cloudera Manager Server通过部署在不同设备上的Cloudera Manager Agent进...
Cloudera Manager5常见问题汇总
邹中凡
11-13 1万+
1,在Cloudera Manager5中安装CDH时报如下错: 查看旁边的“详细信息”链接,可以发现在“正在启动 Cloudera Manager Agent…”环节有如下错误:>>IOError: [Errno 13] Permission denied: '/var/log/cloudera-scm-agent/cloudera-scm-agent.log' >>error: [Errno
基于CDH5.x的Hive权限详细配置
Ganymede的Hadoop世界
10-03 8921
基于CDH5.x的Hive权限详细配置
怎么在Cloudera QuickStart VM更改用户权限
最新发布
03-23
### Cloudera QuickStart VM 用户权限修改 Cloudera QuickStart VM 是一个预先配置好的虚拟机环境,旨在让用户能够快速体验和学习 CDH(Cloudera Distribution Including Apache Hadoop)。虽然它提供了一个开箱即用的环境,但在某些情况下可能需要调整用户权限以满足特定需求。 #### 默认用户权限 默认情况下,Cloudera QuickStart VM 提供了一个名为 `cloudera` 的用户账户[^3]。此用户具有管理员权限(sudo 权限),可以执行大多数管理操作。如果需要创建用户或更改现有用户权限,则可以通过以下方式实现: --- #### 修改用户权限的方法 ##### 1. 添加新用户并赋予 sudo 权限 通过命令行工具可以轻松完成这一任务。以下是具体的操作步骤: ```bash # 切换到 root 用户 su - # 创建用户 adduser newusername # 设置密码 passwd newusername # 将新用户加入 sudo 组 usermod -aG wheel newusername ``` 上述命令会将新用户添加到 `wheel` 组中,在 CentOS 系统上,默认只有属于该组的用户才能获得超级用户权限[^5]。 --- ##### 2. 更改现有用户权限 如果希望授予某个已有用户更高的权限,可以直接将其添加至 `wheel` 或其他特权组: ```bash # 假设目标用户名为 existinguser usermod -aG wheel existinguser ``` 完成后需重新登录以使更改生效。 --- ##### 3. 配置 SSH 登录权限 为了增强安全性或者方便远程访问,还可以编辑 `/etc/ssh/sshd_config` 文件来控制哪些用户允许通过 SSH 进行连接。例如: ```bash AllowUsers cloudera newusername ``` 保存文件后记得重启 SSH 服务以便应用新的设置: ```bash service sshd restart ``` --- ##### 4. 解决潜在问题——中文乱码影响权限查看 当遇到中文乱码时,可能会干扰对系统日志或其他文本型数据的理解。针对这种情况可采取措施优化字符编码支持。比如安装必要的字体包以及设定正确的 locale 参数: ```bash yum install -y fonts-chinese localectl set-locale LANG=zh_CN.UTF-8 export LC_ALL=zh_CN.UTF-8 ``` 以上改动同样适用于因语言障碍引发的相关错误提示解析困难的情况。 --- #### 注意事项 尽管拥有完全控制权有助于深入探索平台功能,但也应谨慎对待任何涉及敏感信息的操作。建议始终保留原始 `cloudera` 账号作为备用恢复途径,并定期备份重要资料以防意外丢失。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值