如何集成OpenLDAP+Sentry.docx

温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 Fayson的github:https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢

1.文档编写目的


前面Fayson讲了如何安装OpenLDAP及CDH集群集成OpenLDAP等一系列文章,本篇文章主要介绍集成OpenLDAP后的CDH集群在启用Sentry服务后如何为OpenLDAP中的用户进行Sentry授权,在学习本章知识前你需要了解:

《1.如何在CentOS6.5安装OpenLDAP并配置客户端》

《2.OpenLDAP集成SSH登录并使用SSSD同步用户》

《3.如何实现OpenLDAP的主主同步》

《4. 如何为Hive配置OpenLDAP认证》

《5.如何为Impala配置OpenLDAP认证》

《6.如何为Hue配置OpenLDAP认证》

《7.如何在OpenLDAP中实现将一个用户添加到多个组》

  • 内容概述

1.测试环境描述及创建hive管理员

2.为测试用户授权

3.权限测试

  • 测试环境

1.CM和CDH版本为5.13.1

2.OpenLDAP版本2.4.40

  • 前置条件

1.集群已配置集成OpenLDAP

2.集群已启用Sentry服务且配置正常

3.Hue已集成OpenLDAP

4.测试用户已添加至OpenLDAP服务

2.环境描述


在《6.如何为Hue配置OpenLDAP认证》文章中,Fayson是以hive用户为例,这里我们就不在过多的描述了,如下是环境的说明:

hive用户作为超级管理员用户:

将OpenLdap中的faysontest和faysontest2用户同步到Hue中:

使用超级管理员hive用户登录Hue,使用Add/Sync LDAP user”功能同步用户

现在Hue中的用户列表如下:

3.创建Hive超级管理员


1.使用hive用户登录Hue,进入“Security”菜单添加超级管理员角色

2.添加一个admin角色,拥有Hive的所有权限

保存角色完成hive用户超级管理的创建。

3.验证hive用户是否拥有Hive的所有权限

如上图所示可以看到hive用户拥有Hive所有库的权限。

4.为faysontest和faysontest2用户授权


这里我们就简单对这两个用户进行授权,创建两个角色role1和role2,role1拥有default库的所有权限,role2拥有test_db库的所有操作权限。分别将role1角色分配给faysontest用户,将role2角色分配给faysontest2用户。

1.根据上述描述创建role1和role2角色

role1角色:

role2角色:

保存角色列表如下:

5.权限测试


1.使用faysontest用户登录Hue进行测试

faysontest用户只能看到default库

登录成功后可以看到hive的default库下所有的表都已列出来

成功执行Select操作

成功执行INSERT操作

成功执行COUNT操作

选择Impala也能正常查看default库

查看default库下的表,能正常显示所有的表

成功执行SELECT操作

成功执行INSERT操作

成功执行COUNT操作

2.使用faysontest2用户登录Hue

默认所有用户都能看到default库,但faysontest2用户无权限查看default库下的表

可以查看test_db库下所有的表

成功执行SELECT操作

成功向user表中插入数据

成功执行COUNT操作

使用Impala查看,同样可以看到default库,但无法查看default库下的所有表

可以查看test_db库下所有的表

成功执行SELECT操作

成功执行INSERT操作

成功执行COUNT操作

6.总结


  • 在为OpenLDAP中用户授权需要先在OpenLDAP中添加测试用户,并使用hue管理员将OpenLDAP中的用户同步至Hue中
  • 需要使用hive用户登录Hue创建超级管理员并授权给hive用户组
  • 在hive拥有Hive服务的超级权限后再为测试用户授予不通的操作权限。

关于Sentry权限控制可以参考Fayson前面的文章均有详细介绍:

《如何在CDH未启用认证的情况下安装及使用Sentry》

《如何在CDH启用Kerberos的情况下安装及使用Sentry(一)》

《如何在CDH启用Kerberos的情况下安装及使用Sentry(二)》

《如何使用Sentry管理Hive外部表权限》

《如何使用Sentry管理Hive外部表(补充)》

《如何在Hue中使用Sentry》

提示:代码块部分可以左右滑动查看噢 为天地立心,为生民立命,为往圣继绝学,为万世开太平。 温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。

推荐关注Hadoop实操,第一时间,分享更多Hadoop干货,欢迎转发和分享。

原创文章,欢迎转载,转载请注明:转载自微信公众号Hadoop实操

原文发布于微信公众号 - Hadoop实操(gh_c4c535955d0f)

原文发表时间:2018-02-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏加米谷大数据

编译及调试 Hadoop 源代码

Hadoop 在伪分布式模式下的编译和调试方法,其中,调试方法主要介绍使用 Eclipse 远程调试和打印调试日志两种。 编译 Hadoop 源代码 在 Win...

4206
来自专栏岑玉海

Spark部署

  Spark的部署让人有点儿困惑,有些需要注意的事项,本来我已经装成功了YARN模式的,但是发现了一些问题,出现错误看日志信息,完全看不懂那个错误信息,所以才...

3634
来自专栏挖掘大数据

Hadoop生态圈和各组件的启动、关闭脚本介绍

Hadoop生态圈各组件的启动及关闭脚本,虽然有些使用频率不高,不容易记住,这里特地整理出来,大家可以先保存,用的时候就方便了。

2477
来自专栏Hadoop实操

如何为Hive2启用Kerberos认证

3512
来自专栏云计算教程系列

在腾讯云CVM上搭建Hadoop集群

本教程将介绍如何在腾讯云CVM上搭建Hadoop集群。Hadoop中是一个Apache的框架,可以让你通过基本的编程处理跨服务器集群的分布式方式的大型数据集。H...

2194
来自专栏Hadoop实操

Redhat7.4安装CDH6.0_beta1时分发Parcel异常分析

Fayson在之前的文章中介绍过《如何在Redhat7.4安装CDH6.0.0_beta1》,但当安装CDH并分发Parcel时,浏览器端会报错Parcel的h...

3662
来自专栏Hadoop实操

06-如何为Impala集成AD认证

Fayson在前面的文章《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Direct...

1802
来自专栏Hadoop实操

Hue禁止用户下载数据问题分析

在使用Hue时通过SQL查询Hive和Impala数据或在浏览文件系统时可以通过Hue提供的下载功能下载数据文件,这样会导致任意用户都可以随意下载数据,有数据泄...

5607
来自专栏Hadoop实操

如何修改CM及CDH元数据库配置

在前面Fayson介绍了《如何实现CDH元数据库MySQL的主主互备》和《如何实现CDH元数据库MySQL的高可用》,实现了MySQL的高可用后访问地址有了变化...

6025
来自专栏Hadoop实操

如何为Kerberos环境的CDH集群在线扩容数据节点

Hadoop集群其中一个优点就是可伸缩性(横向扩展),通过增加计算节点使服务容量产生线性增长的能力。可伸缩的应用程序的主要特点是:只需要增加资源,而不需要对应用...

5568

扫码关注云+社区

领取腾讯云代金券