Hive LDAP身份认证及Sentry权限配置

最新推荐文章于 2023-06-07 17:09:27 发布
原创 最新推荐文章于 2023-06-07 17:09:27 发布 · 4.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了在CDH5.7版本中Hive如何配置并支持Kerberos和LDAP两种认证方式,通过实例展示了如何在hive-site.xml中添加配置实现LDAP认证,并对比了Kerberos认证的过程。此外,文章还探讨了Sentry权限设置前的用户组映射配置需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考文档:https://www.cloudera.com/documentation/enterprise/5-10-x/topics/cdh_sg_hiveserver2_security.html#topic_9_1

CDH5.7之后HIVE同时支持kerberos和LDAP 2种认证,带来的好处毋庸置疑. Kerberos负责集群的安全性,LDAP使用用户和密码给HIVE, IMPALA等使用,相比使用keytab要简单。

Enabling LDAP Authentication with HiveServer2 using OpenLDAP

<property>
  <name>hive.server2.authentication</name>
  <value>LDAP</value>
</property>
<property>
  <name>hive.server2.authentication.ldap.url</name>
  <value>LDAP_URL</value>
</property>
<property>
  <name>hive.server2.authentication.ldap.baseDN</name>
  <value>LDAP_BaseDN</value>
</property>

只需要将上述3个参数添加到hive-site.xml即可打开LDAP认证,非常简单。

重启服务测试JDBC,我的服务开启了kerberos,又打开了LDAP认证,接下来同时测试一下:

String url = "jdbc:hive2://node1:10000/default;user=LDAP_Userid;password=LDAP_Password"
Connection con = DriverManager.getConnection(url);

LDAP认证:

[root@tsczbdnndev1 ~]# beeline
Beeline version 1.1.0-cdh5.10.2 by Apache Hive
beeline> !connect jdbc:hive2://10.40.2.93:10000/default;user=jlwang2;password=wangjialong
scan complete in 1ms
Connecting to jdbc:hive2://10.40.2.93:10000/default;user=jlwang2;password=wangjialong
Connected to: Apache Hive (version 1.1.0-cdh5.10.2)
Driver: Hive JDBC (version 1.1.0-cdh5.10.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
0: jdbc:hive2://10.40.2.93:10000/default> show databases;
INFO  : Compiling command(queryId=hive_20190411091818_089e15d1-08b1-4eed-a909-d8eee32be60a): show databases
INFO  : Semantic Analysis Completed
INFO  : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:database_name, type:string, comment:from deserializer)], properties:null)
INFO  : Completed compiling command(queryId=hive_20190411091818_089e15d1-08b1-4eed-a909-d8eee32be60a); Time taken: 0.055 seconds
INFO  : Executing command(queryId=hive_20190411091818_089e15d1-08b1-4eed-a909-d8eee32be60a): show databases
INFO  : Starting task [Stage-0:DDL] in serial mode
INFO  : Completed executing command(queryId=hive_20190411091818_089e15d1-08b1-4eed-a909-d8eee32be60a); Time taken: 0.13 seconds
INFO  : OK

Kerberos认证:

[root@tsczbdnndev1 ~]# beeline
Beeline version 1.1.0-cdh5.10.2 by Apache Hive
beeline> !connect jdbc:hive2://tsczbdnndev1.trinasolar.com:10000/default;principal=hive/tsczbdnndev1.trinasolar.com@TRINASOLAR.COM
scan complete in 1ms
Connecting to jdbc:hive2://tsczbdnndev1.trinasolar.com:10000/default;principal=hive/tsczbdnndev1.trinasolar.com@TRINASOLAR.COM
Connected to: Apache Hive (version 1.1.0-cdh5.10.2)
Driver: Hive JDBC (version 1.1.0-cdh5.10.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
0: jdbc:hive2://tsczbdnndev1.trinasolar.com:1> 
0: jdbc:hive2://tsczbdnndev1.trinasolar.com:1> show databases;
INFO  : Compiling command(queryId=hive_20190411092323_4938457f-866b-4f72-97c6-cf5e69530144): show databases
INFO  : Semantic Analysis Completed
INFO  : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:database_name, type:string, comment:from deserializer)], properties:null)
INFO  : Completed compiling command(queryId=hive_20190411092323_4938457f-866b-4f72-97c6-cf5e69530144); Time taken: 0.046 seconds
INFO  : Executing command(queryId=hive_20190411092323_4938457f-866b-4f72-97c6-cf5e69530144): show databases
INFO  : Starting task [Stage-0:DDL] in serial mode
INFO  : Completed executing command(queryId=hive_20190411092323_4938457f-866b-4f72-97c6-cf5e69530144); Time taken: 0.078 seconds
INFO  : OK

以上LDAP认证就完成了,接下来看一下Sentry权限设置。

参考文档:https://www.cloudera.com/documentation/enterprise/5-10-x/topics/cm_sg_sentry_service.html

在设置sentry之前,我们要先了解一个非常重要的东西,那就是 user to group mapping, 读明白下面几句话,就应该了解sentry 用户及用户组的管理。

You can configure Sentry to use Hadoop groups. By default, Sentry looks up groups locally, but it can be configured to look up Hadoop groups using LDAP (for Active Directory). User/group information for Sentry, Hive and Impala must be made available for lookup on the following hosts:
Sentry - Groups are looked up on the host the Sentry Server runs on.
Hive - Groups are looked up on the hosts running HiveServer2 and the Hive Metastore.
Impala - Groups are looked up on the Catalog Server and on all of the Impala daemon hosts.

CDH默认会新建很多用户, 这些用户及组全部是通过操作系统层面来管理的,Cloudera推荐我们使用LDAP来管理所有用户及组.

参考文档:https://www.cloudera.com/documentation/enterprise/5-10-x/topics/cm_sg_ldap_grp_mappings.html

但是如果全部使用LDAP,我们还需要把CDH自带的用户和组也要重新新建,感觉有点破坏原始系统的感觉,从我个人偏好,底层仍然使用OS来管理用户和组,仅仅像HIVE, IMPALA这些应用使用LDAP来管理用户密码及登入认证。

上面几段话的意思我整理一下:

1. 所有的组必须在sentry服务器上要有

2.hive用户和组,必须在hive相关的服务器上

3.impala用户和组,必须在impala相关服务器上

综合上面的意思及实践:

所有的组,在sentry, hive, impala 全部建立。 对于用户hive,impala服务器上全部建立,这样即肯定没有问题。

sentry赋权具体参考文档:https://www.cloudera.com/documentation/enterprise/5-10-x/topics/sg_hive_sql.html

Cloudera CDH 5.1版本的HiveLDAP-2.4.44集成
九师兄
07-04 706
看图:参考:https://blog.youkuaiyun.com/qq_21383435/article/details/83383674。参考:https://blog.youkuaiyun.com/qq_21383435/article/details/83313824。LDAP BaseDN填写的是具体用户的上一级,意思是属于people组的人都可以(以不同的用户名密码)登录hive。我们试试一个不存在LDAP中的用户试试,可以看到不能登录。可以看到我们输入LDAP配置的用户密码是可以登陆的。然后重启过时的服务。
hive-hue-ldap集成
belialxing的专栏
04-09 2364
前提条件 1、ldap正常安装,并导入了hive用户和普通用户。导入了hive组和普通用户组 HDFS配置 core-site.xml 的群集范围高级配置代码段(安全阀) <property><name>hadoop.proxyuser.hive.hosts</name><value>*</value></pr...
Hive、Impala、Hue集成LDAP
数据开发探索者
11-28 1571
Hive、Impala、Hue集成LDAP
hive整合ldap权限管理
goodjuan的博客
03-10 1516
1、判断hive中是否存在该数据库 2、若数据库不存在,则创建数据库 3、判断hive库的角色是否存在 sql语句:show grant role roleName on database databaseName; 4、若hive库的角色不存在,创建hive的角色 sql:create role roleName; 5、赋予hive数据库的权限给角色 sql:grant select/all o...
Hive+LDAP+Sentry
weixin_34204057的博客
04-26 473
为什么80%的码农都做不了架构师?>>> ...
hive集成LDAP
空中的鱼
02-13 2490
ion.ldap.url ldap://master-71:389 hive.server2.authentication.ldap.baseDN ou=ndpmedia,dc=yeahmobi,dc=com 测试例子:https://github.com/firecodeman/Cloudera-Impala-Hive-JDBC-Example 奇怪现象: http://community.cloudera.com/t5/CDH-Manual-Install
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2796
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 1244
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
Ambari+Hive+HDFS的权限认证配置
南山南的Python和大数据学习笔记
03-27 3908
关注我的微信公众号:pythonislover,领取python,大数据,SQL优化相关视频资料!~ Python大数据与SQL优化笔 QQ群:771686295 一. Hive 配置里的几个概念 Authorization: 授权,也就是用户权限 Authentication:验证,也就是用户身份认证 Metastore Server, HiveServer2, 这是H...
hive如何设置ldap用户组权限
最新发布
06-10
分析引用:-引用[1]:提到Hive支持LDAP身份认证配置hive.server2.authentication为LDAP,并指定了LDAPURL和BaseDN。-引用[2]:详细描述了整合LDAP权限管理的步骤,包括创建数据库、角色、权限等操作,使用SQL...
sentry 权限简介
05-18
例如,在Hive和Impala中,Sentry可以控制服务器、数据库、表和视图层面的访问权限,包括查找、插入等操作。 - **基于角色的管理**:Sentry通过基于角色的授权简化了管理过程,可以轻松地向不同的组授予不同级别的...
社区版hiveserver2集成ldap
lin86182824的博客
06-10 961
社区版hiveserver2集成ldap
LDAPHIVE、HUE 集成
weixin_44207412的博客
09-08 1905
Hive、Hue 集成 LDAP
LDAP及CDH中服务的权限认证
Yore - Home
04-19 5515
主要对 LDAP 进行了介绍,重点选择 OpenLDAP进行了说明,重点是对 OpenLDAP的安装与配置进行了详细的说明。最后再将 LDAP 与 CDH 环境集成(主要以 Hive、Impala、Hue为例)。开启了LDAP 后对服务访问就需要加上用户认证,之后重点介绍了Hive、Impala的 JDBC、Beeline、脚本形式的使用,重点关注 Impala-shell 如何脚本化执行 sql 文件,最后重点注意在 Spring Boot 中访问 Impala时的几个注意点。
ldap服务安装,客户端安装,ldap用户登录验证测试
javaMylife的博客
06-07 1561
5、验证LDAP,使用客户端计算机上的LDAP用户“ hiveuser” 登录。2、配置ladp账号密码域名。3、重启LDAP客户端服务器。
快速搭建 LDAP 服务器与Hive集成
Little_fxc的博客
12-20 1781
快速搭建 LDAP 服务器与Hive集成 1 前言 LDAP (Lightweight Directory Access Protocol) 是轻型目录访问协议,以目录形式存储信息(基于目录的数据库),具有良好的读性能。 本文的目的是帮助你快速搭建 LDAP 服务器。 本文所使用的服务器是 centos7 2 关闭防火墙 首先使用systemctl status firewalld确认防火墙是否打开,如过打开,则关闭: systemctl stop firewalld systemctl disable f
cdh集成ldap
weixin_38655836的博客
05-05 5107
主要参考的服务的网址: 经过测试,如果根据腾讯云中的这个文档中的指示,把hiveadmin当成是hive的超级用户的话,会出现sentry赋权有问题的情况(那个hue中的加号(添加role)出不来),所以后面出现hiveadmin用户的情况,这里后面都需要变成hive,就可以了 03-Active Directory的使用与验证: https://mp.weixin.qq.com/s?__biz=...
hiverserver2 用户登录验证: openldap
eyeofeagle的博客
11-19 829
1,安装配置openldap yum install openldap-servers openldap-clients -y yum install migrationtools -y cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf sed -i '122irootpw 123456' /etc/openldap/slapd.conf sed -i 's@my-domain@cdh@g'
Hive启用Sentry后的Yarn资源池限制配置
这是因为启用Sentry后,所有的Hive操作都会以hive用户身份执行,因此,即使用户本身无权提交到某个队列,hive用户也应该有权限,这样才能保证Sentry权限控制的正确性。 接下来,文档提到的关键步骤是禁用Hive指定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tom_fans

谢谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值