CDH配置Sentry以及权限测试_sentry 配置后 admin 没有表了-程序员宅基地
技术标签: CDH实操
在CDH中添加完Sentry服务后,需要更改一下hive配置才能通过beeline访问。
第一,修改Hive下的HiveServer2配置,如下所示:
将HiveServer2 Load Balancer中的admin去掉和HiveServer2 启用模拟的√去掉。
这里的admin是默认的,跟前面配置有关,之前没有去掉直接导致beeline连接不上。更改后如下:
第二,将Hive服务的Sentry勾上,默认是none
在YARN的NodeManger在查看“允许的系统用户”项,看到下图所示就不用更改了(默认)
重启Hive过时服务
紧接着,开启HDFS角色的acl(这里主要控制用户访问的HDFS目录,因为在生产环境中会指定一些目录是该用户可以访问的,而其他一些目录该用户访问不了)
重启过期HDFS配置:
然后到Sentry服务下的“管理员组”查看有没有hive/impala/hbase/hue,没有添加上(默认是已经存在)
紧接着,生成hive.keytab文件
这里,集群有wlint01、wlnamenode01、wldatanode001~wldatanode018一个20个节点,需要生成的hive的keytab文件最后汇集到hive.keytab一个文件中。
首先在Kerberos数据库中创建principal:
[wlbd@wlint01 ~]$ sudo kadmin.local -q "addprinc -randkey hive/wlint01@HXDI.COM"
[wlbd@wlint01 ~]$ sudo kadmin.local -q "addprinc -randkey hive/wlnamenode01@HXDI.COM"
[wlbd@wlint01 ~]$ for i in {
1..9}; do sudo kadmin.local -q "addprinc -randkey hive/wldatanode00$i@HXDI.COM"; done
[wlbd@wlint01 ~]$ for i in {
0..8}; do sudo kadmin.local -q "addprinc -randkey hive/wldatanode01$i@HXDI.COM"; done
这里用sudo是因为在生产环境下只能用wlbd这个用户,而且要用到sudo这个命令才能启用kadmin.local这个命令。如果你是root用户,不需要加sudo。
然后,在当前目录下生成hive.keytab文件。
[wlbd@wlint01 ~]$ sudo kadmin.local -q "xst -norandkey -k hive.keytab hive/wlint01@HXDI.COM"
[wlbd@wlint01 ~]$ sudo kadmin.local -q "xst -norandkey -k hive.keytab hive/wlnamenode01@HXDI.COM"
[wlbd@wlint01 ~]$ for i in {
1..9}; do sudo kadmin.local -q "xst -norandkey -k hive.keytab hive/wldatanode00$i@HXDI.COM"; done
[wlbd@wlint01 ~]$ for i in {
0..8}; do sudo kadmin.local -q "xst -norandkey -k hive.keytab hive/wldatanode01$i@HXDI.COM"; done修改hive-site.xml文件
[root@wlint01 ~]# vi /etc/hive/conf/hive-site.xml注意,这里是root权限
在hive-site.xml后面加入下面几句:
<property>
<name>hive.server2.authentication</name>
<value>kerberos</value>
</property>
<property>
<name>hive.metastore.kerberos.principal</name>
<value>hive/[email protected]</value>
</property>
<property>
<name>hive.server2.authentication.kerberos.principal</name>
<value>hive/[email protected]</value>
</property>
<property>
<name>hive.metastore.kerberos.keytab.file</name>
<value>/etc/hive/conf/hive.keytab</value>
</property>
最后一句就是你接下来放置hive.keytab的路径。这里需要注意的是当重启hive时,hive的配置文件可能会更改为之前默认情况下,而且/etc/hive/conf/下的hive.keytab也会被删除,需要重启拷贝和重新修改hive-site.xml。所以这里我们选择先修改配置文件再拷贝hive.keytab文件。
将修改后的hive-site.xml文件scp到各个节点
[root@wlint01 wlbd]# for i in {
10..28}; do scp /etc/hive/conf/hive-site.xml 192.168.32.$i:/etc/hive/conf; done这里的ip地址对应上面的hostname
同样将hive.keytab文件拷贝到每一台主机的/etc/hive/conf目录下。
[root@wlint01 wlbd]# for i in {
9..28}; do scp hive.keytab 192.168.32.$i:/etc/hive/conf; done修改每个节点keytab权限:
[root@wlint01 wlbd]#for i in {
9..28}; do ssh 192.168.32.$i "cd /etc/hive/conf; chmod 400 hive.keytab; chown hive:hadoop hive.keytab"; done2. 权限测试
创建两个系统用户user1和user2
[root@wlint01 wlbd]# useradd user1
[root@wlint01 wlbd]# passwd user1
[root@wlint01 wlbd]# useradd user2
[root@wlint01 wlbd]# passwd user2创建Kerberos用户
[wlbd@wlint01 ~]$ sudo kadmin.local -q "addprinc user1"
[wlbd@wlint01 ~]$ sudo kadmin.local -q "addprinc user2"创建数据库和表。这里需要kinit之前生成的hive.keytab,然后进入Hive CLI创建数据库,再通过beeline创建role。
当前目录下有events.csv文件
[wlbd@wlint01 ~]$ cat events.csv
10.1.2.3,US,android,createNote
10.200.88.99,FR,windows,updateNote
10.1.2.3,US,android,updateNote
10.200.88.77,FR,ios,createNote
10.1.4.5,US,windows,updateTag
[wlbd@wlint01 ~]$ kinit -kt hive.keytab hive/wlint01
创建两个数据库
create database db1;
create database db2;
在数据库中创建表
在db1中创建table1,在db2中创建table1和table2
create table db1.table1 (
ip STRING, country STRING, client STRING, action STRING
) ROW FORMAT DELIMITED FIELDS TERMINATED BY ',';
create table db2.table1 (
ip STRING, country STRING, client STRING, action STRING
) ROW FORMAT DELIMITED FIELDS TERMINATED BY ',';
create table db2.table2 (
ip STRING, country STRING, client STRING, action STRING
) ROW FORMAT DELIMITED FIELDS TERMINATED BY ',';
load data local inpath '/home/wlbd/events.csv' overwrite into table db1.table1;
load data local inpath '/home/wlbd/events.csv' overwrite into table db2.table1;
load data local inpath '/home/wlbd/events.csv' overwrite into table db2.table2;赋予用户权限
这里是通过beeline连接进行操作的
给user1赋予db1的所有权限
beeline -u "jdbc:hive2://wlint01:10000/;principal=hive/wlint01@HXDI.COM"create role user1_role;
GRANT ALL ON DATABASE db1 TO ROLE user1_role;
GRANT ROLE user1_role TO GROUP user1;
给user2赋予db2的所有权限
create role user2_role;
GRANT ALL ON DATABASE db2 TO ROLE user2_role;
GRANT ROLE user2_role TO GROUP user2;测试用户权限
user1用户只具有db1和default的权限
[wlbd@wlint01 ~]$ kinit user1
Password for user1@HXDI.COM:
[wlbd@wlint01 ~]$ beeline -u "jdbc:hive2://wlint01:10000/;principal=hive/[email protected]"
scan complete in 2ms
Connecting to jdbc:hive2://wlint01:10000/;principal=hive/[email protected]
Connected to: Apache Hive (version 1.1.0-cdh5.14.2)
Driver: Hive JDBC (version 1.1.0-cdh5.14.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
Beeline version 1.1.0-cdh5.14.2 by Apache Hive
0: jdbc:hive2://wlint01:10000/> show databases;
INFO : Compiling command(queryId=hive_20180618150404_d26fd5a2-8c54-44d5-9df8-38f362535491): show databases
INFO : Semantic Analysis Completed
INFO : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:database_name, type:string, comment:from deserializer)], properties:null)
INFO : Completed compiling command(queryId=hive_20180618150404_d26fd5a2-8c54-44d5-9df8-38f362535491); Time taken: 0.38 seconds
INFO : Executing command(queryId=hive_20180618150404_d26fd5a2-8c54-44d5-9df8-38f362535491): show databases
INFO : Starting task [Stage-0:DDL] in serial mode
INFO : Completed executing command(queryId=hive_20180618150404_d26fd5a2-8c54-44d5-9df8-38f362535491); Time taken: 0.281 seconds
INFO : OK
+----------------+--+
| database_name |
+----------------+--+
| db1 |
| default |
+----------------+--+
2 rows selected (0.884 seconds)
0: jdbc:hive2://wlint01:10000/>
user2用户只具有db2和default的权限
[wlbd@wlint01 ~]$ kinit user2
Password for user2@HXDI.COM:
[wlbd@wlint01 ~]$ beeline -u "jdbc:hive2://wlint01:10000/;principal=hive/[email protected]"
scan complete in 2ms
Connecting to jdbc:hive2://wlint01:10000/;principal=hive/[email protected]
Connected to: Apache Hive (version 1.1.0-cdh5.14.2)
Driver: Hive JDBC (version 1.1.0-cdh5.14.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
Beeline version 1.1.0-cdh5.14.2 by Apache Hive
0: jdbc:hive2://wlint01:10000/> show databases;
INFO : Compiling command(queryId=hive_20180618151010_397e7de5-2bd7-4bd7-90d7-bbfabcab48e8): show databases
INFO : Semantic Analysis Completed
INFO : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:database_name, type:string, comment:from deserializer)], properties:null)
INFO : Completed compiling command(queryId=hive_20180618151010_397e7de5-2bd7-4bd7-90d7-bbfabcab48e8); Time taken: 0.104 seconds
INFO : Executing command(queryId=hive_20180618151010_397e7de5-2bd7-4bd7-90d7-bbfabcab48e8): show databases
INFO : Starting task [Stage-0:DDL] in serial mode
INFO : Completed executing command(queryId=hive_20180618151010_397e7de5-2bd7-4bd7-90d7-bbfabcab48e8); Time taken: 0.176 seconds
INFO : OK
+----------------+--+
| database_name |
+----------------+--+
| db2 |
| default |
+----------------+--+
2 rows selected (0.418 seconds)禁用HIve CLI
表示hive、hue、hdfs和sentry都能访问CLI,别的用户或组成员访问不了CLI。这样创建一个用户user1,由于user1不在这个列表里面,user1自然访问不了Hive CLI。
HDFS测试
配置HDFS ACL与Sentry同步后,HDFS权限与Sentry监控的目录(/user/hive/warehouse)的权限同步
[root@hxmaster ~]# kinit -kt hive.keytab hive/hxmaster
[root@hxmaster ~]# hadoop fs -getfacl -R /user/hive/warehouse/
# file: /user/hive/warehouse
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db1.db
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user1:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db1.db/table1
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user1:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db1.db/table1/events.csv
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user1:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db2.db
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user2:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db2.db/table1
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user2:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db2.db/table1/events.csv
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user2:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db2.db/table2
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user2:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/db2.db/table2/events.csv
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:user2:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/test_table
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:hive:rwx
mask::rwx
other::--x
# file: /user/hive/warehouse/test_table/events.csv
# owner: hive
# group: hive
user::rwx
group::---
user:hive:rwx
group:hive:rwx
mask::rwx
other::--x切换到user1用户,查看HDFS文件
[root@hxmaster ~]# kinit user1
Password for user1@ANDREW.COM:
You have mail in /var/spool/mail/root
[root@hxmaster ~]# hadoop fs -ls /user/hive/warehouse/db1.db
Found 1 items
drwxrwx--x+ - hive hive 0 2018-06-10 20:08 /user/hive/warehouse/db1.db/table1
[root@hxmaster ~]# hadoop fs -cat /user/hive/warehouse/db1.db/table1/events.csv
10.1.2.3,US,android,createNote
10.200.88.99,FR,windows,updateNote
10.1.2.3,US,android,updateNote
10.200.88.77,FR,ios,createNote
10.1.4.5,US,windows,updateTag
You have mail in /var/spool/mail/root
[root@hxmaster ~]# hadoop fs -ls /user/hive/warehouse/db2.db
ls: Permission denied: user=user1, access=READ_EXECUTE, inode="/user/hive/warehouse/db2.db":hive:hive:drwxrwx--x
[root@hxmaster ~]# hadoop fs -cat /user/hive/warehouse/db2.db/table1/events.csv
cat: Permission denied: user=user1, access=READ, inode="/user/hive/warehouse/db2.db/table1/events.csv":hive:hive:-rwxrwx--x切换到user2用户,查看HDFS文件
[root@hxmaster ~]# kinit user2
Password for user2@ANDREW.COM:
[root@hxmaster ~]# hadoop fs -ls /user/hive/warehouse/db1.db
ls: Permission denied: user=user2, access=READ_EXECUTE, inode="/user/hive/warehouse/db1.db":hive:hive:drwxrwx--x
[root@hxmaster ~]# hadoop fs -cat /user/hive/warehouse/db1.db/table1/events.csv
cat: Permission denied: user=user2, access=READ, inode="/user/hive/warehouse/db1.db/table1/events.csv":hive:hive:-rwxrwx--x
[root@hxmaster ~]# hadoop fs -ls /user/hive/warehouse/db2.db
Found 2 items
drwxrwx--x+ - hive hive 0 2018-06-10 20:08 /user/hive/warehouse/db2.db/table1
drwxrwx--x+ - hive hive 0 2018-06-10 20:08 /user/hive/warehouse/db2.db/table2
[root@hxmaster ~]# hadoop fs -cat /user/hive/warehouse/db2.db/table1/events.csv
10.1.2.3,US,android,createNote
10.200.88.99,FR,windows,updateNote
10.1.2.3,US,android,updateNote
10.200.88.77,FR,ios,createNote
10.1.4.5,US,windows,updateTag
[root@hxmaster ~]# hadoop fs -cat /user/hive/warehouse/db2.db/table2/events.csv
10.1.2.3,US,android,createNote
10.200.88.99,FR,windows,updateNote
10.1.2.3,US,android,updateNote
10.200.88.77,FR,ios,createNote
10.1.4.5,US,windows,updateTag智能推荐
接入腾讯云apass数智人[交互式]_腾讯云智能数智人开发对接-程序员宅基地
文章浏览阅读291次。1、多个播报指令播报时,需要监听该会话下播报【结束】的状态再发送,否则播报指令将可能出现丢失,数智人只播报最新的一条指令。调用【新建视频流会话接口】获取[sessionId]会话唯一标识,[PlayStreamAddr]播放地址。2、播放流采用rtmp协议时,视频会存在3s左右的延迟,请妥善处理播报监听状态,以及数智人结束时的操作时机。,第三步:建立会话长链接(websocket)-监听数智人播报内容,以及播报状态。第五步:关闭会话-数智人停止播放。第四步:发送指令-进行播报。_腾讯云智能数智人开发对接
2022.8.9考试立方和--1100题解_给定一个正整数x。 检查数字x是否可以表示为两个正整数的立方和-程序员宅基地
文章浏览阅读380次。给出一个正整数 ,请判断 是否可以被表示为两个正整数的立方之和。用map去存立方数,枚举第一个数,在通过map证明第二个数的存在。接下来有 组测试数据,每组仅一行一个正整数 ( )。第一行仅有一个正整数 ( ),表示测试数据的组数。若 能被表示为两个正整数的立方之和,输出;注意开longlong。2、立方和–1100。..._给定一个正整数x。 检查数字x是否可以表示为两个正整数的立方和
第4章 化学反应与迁移-程序员宅基地
文章浏览阅读451次。4.1 引言4.2 平衡吸附4.2.1 吸附等温线及迁移方程中的吸附项4.2.2 有机化合物的吸附4.2.3 离子交换4.3 吸附动力学4.4 一级不可逆反应4.5 莫诺动力学反应4.6 多组分动力学反应4.7 双域系统中的化学反应
网页数据解析_本关任务:在 xpath 基础实训中,介绍了 xpath 的基础知识,本关需要使用 xpath 技术-程序员宅基地
文章浏览阅读3.1k次。第1关:XPath解析网页本关任务:在 XPath 基础实训中,介绍了 XPath 的基础知识,本关需要使用 XPath 技术来编写解析网页的程序。import urllib.requestfrom lxml import etreedef get_data(url): ''' :param url: 请求地址 :return: None ''' response=urllib.request.urlopen(url=url) _本关任务:在 xpath 基础实训中,介绍了 xpath 的基础知识,本关需要使用 xpath 技术
鸿蒙Harmony 拖动监听DraggedListener_鸿蒙 监听扫码枪-程序员宅基地
文章浏览阅读643次,点赞2次,收藏2次。鸿蒙Harmony 拖动监听DraggedListener效果图源码地址https://gitee.com/liukerui/harmony-app-examples.git_鸿蒙 监听扫码枪
ofbiz初级教程_ofbiz 教程-程序员宅基地
文章浏览阅读1.3w次,点赞3次,收藏25次。本教程是ofbiz基本应用,它涵盖了OFBiz应用程序开发过程的基本原理。目标是使开发人员熟悉最佳实践,编码惯例,基本控制流程以及开发人员对OFBiz定制所需的所有其他方面。 本教程将帮助您在OFBiz中构建您的第一个“演示应用程序”。· 概述(OFBiz简介)· 设置和运行OFBiz· 下载Apache OFBiz_ofbiz 教程
随便推点
徐辉 北大计算机,徐辉的痛苦回忆_徐辉经历的那一段痛苦回忆-程序员宅基地
文章浏览阅读1.4k次。天空的蟾月已经西斜,渐渐星稀,东方的天际已经泛红,霞蔚铺开,舒展的云朵悄然飘来。嗡嗡嗡......是破山寺的钟声隐隐传来,一波一波的梵音经颂,几多心灵撼动,净里的天籁之音。犹记得尚湖的丝藕、那么的清脆,山麓上一树树挂着的一颗颗如红玛瑙枣仁的甜,毛栗子那么多刺,你会剥开的吃吗。家里的小院两棵橘树该挂满了如照着的红红的灯笼!耳畔阵阵唳唳的啭音传来,报着秋爽、韵着秋声,抬头望,长空里一字的雁行、点、点、..._徐辉的痛苦回忆
linux安装python3.7_python3.7 安装 linux-程序员宅基地
文章浏览阅读630次。这里用到的Linux系统是centos7系统,centos7是自带py的但是py的2.7.5版本 连接服务器的使用的是SSH Secure shell1.首先安装依赖包1)安装gcc编译器 gcc编译器有些系统版本已经默认安装了,可以通过 gcc --version进行查看 安装gc..._python3.7 安装 linux
BootStrap3.X模态框垂直居中显示_bootstrap3 弹出框 垂直居中-程序员宅基地
文章浏览阅读9.5k次。当点击按钮时modal的位置看起来很不舒服, 解决办法总结有两: 1.使用modal 弹出事件方法; 从官方文档中可以了解到, modal组件有不少事件接口: 其中 “shown.bs.modal”可以在弹窗框出现后 做一些处理, 更改弹出框的样式当然是可以的: script type="text/javascript"> $(_bootstrap3 弹出框 垂直居中
P4 开发实践 — 软件 DSL 架构_p4 dsl-程序员宅基地
文章浏览阅读1.1k次。P4 实现了一种 Programmable Match-Action Pipeline(流水线可编程)架构,作为 Pipeline,就是:开发者可以自定义 Match Fields、自定义 Action Type、从而实现自定义的 Match-Action Table,再由多张这样的 Tables 进而形成一条 Pipeline。_p4 dsl
【Unity实战篇 】| 2.5D游戏是如何做出来的呢,2.5D游戏快速制作教程_unity 开发2.5d游戏-程序员宅基地
文章浏览阅读4.5w次,点赞80次,收藏158次。玩过游戏的朋友都知道,市面上最常见的游戏多数分为2D和3D两种。2D和3D游戏之间的差异大家都知道,一个是类似纸片游戏属于二维层面,另一个则是在3D立体空间中游玩。其中还夹杂着一个2.5D游戏,本篇文章就来讲一下怎么通过Unity进行2.5D游戏是怎样的以及如何制作2.5D游戏。制作方法很简单,文中使用到了Tile Map Editor制作2D地图,通过控制相机角度来形成伪3D来制作2.5D效果的游戏。下面就一起来看看到底是怎样制作的吧!_unity 开发2.5d游戏
汇编实验——分类统计字符个数count_char_汇编分类统计字符个数-程序员宅基地
文章浏览阅读6.3k次,点赞3次,收藏9次。;************************************************************实验代码datarea segment mess1 db 'Please enter character string : ',13,10,'$'_汇编分类统计字符个数