0703-6.2.0-使用Sentry为Solr进行赋权
0703-6.2.0-使用Sentry为Solr进行赋权
文档编写目的
在CDH中,Sentry服务是一个基于角色授权的管理组件,通常我们将Sentry用来管理Hive、Impala等组件,但是同样的,Sentry也可以为Solr提供基于角色的细粒度授权,在启用Sentry后,可以对各种操作进行权限上的限制,无论对数据的访问是来自命令行、浏览器还是Hue,都会基于授予的角色拥有的权限来进行管理和限制。要注意的是,启用Sentry对Solr进行权限控制前需要先启用Kerberos,本文档将介绍如何使用Sentry对Solr进行赋权。
- 测试环境:
1.CM和CDH版本为6.2.0
2.Solr版本为7.4
3.集群启用Sentry
4.集群启用Kerberos
5.操作系统版本为RedHat7.2
Solr集成Sentry
在Solr中进行相关的配置,勾选Sentry服务,与Solr集成。用户组和映射类选择Hadoop的用户组,不建议选择本地组
在Solr中选择安全身份验证为Kerberos,由于集群已经启用了Kerberos,这里直接勾选Kerberos
将配置保存后,重启Solr服务,完成Solr与Sentry的集成
使用Sentry对Solr进行赋权
本文档主要介绍如何使用Sentry对Solr中的Collection进行权限管理,对于Collection的权限有三种:QUERY、UPDATE、 *,QUERY提供读的访问权限,UPDATE提供写访问权限,通配符*表示所有权限,在授权时,同样可以使用collection=*的方式来授予角色所有collection 的相应权限。在Solr中使用Sentry来赋权,与其他组件一致,是将权限赋予角色,然后将角色授予相应的用户组,让用户组下的用户能够执行相应的权限,下面在Sentry中以命令行的方式对Solr进行赋权。
3.1 对Solr进行赋权的前置准备
1.准备好测试文件,一个10行数据的csv文件
2.准备好创建Collection所需要的schema.xml配置文件,对每个字段进行一一对应的配置
<?xml version="1.0" encoding="UTF-8" ?>
<schema name="example" version="1.5">
<fields>
<field name="s1" type="string" indexed="true" stored="true" required="true" multiValued="false" />
<field name="s2" type="string" indexed="true" stored="true" />
<field name="s3" type="string" indexed="true" stored="true" />
<field name="s4" type="string" indexed="true" stored="true" />
<field name="s5" type="string" indexed="true" stored="true" />
<field name="s6" type="string" indexed="true" stored="true" />
<field name="_version_" type="long" indexed="true" stored="true"/>
</fields>
<uniqueKey>s1</uniqueKey>
<types>
<fieldType name="string" class="solr.StrField" sortMissingLast="true"/>
<fieldType name="long" class="solr.TrieLongField" precisionStep="0" positionIncrementGap="0"/>
</types>
</schema>
3.准备好创建Collection的脚本,在脚本中,标注的那两行操作是将solrconfig.xml.secure这一配置文件替换掉原本的schema.xml,因为在启用Sentry的Solr中,必须要使用solrconfig.xml.secure这个配置文件才能让Sentry的权限管理生效
#!/bin/sh
ZK="cdh178.macro.com"
COLLECTION="collection0731"
BASE=`pwd`
SHARD=3
REPLICA=1
echo "create solr collection"
rm -rf tmp/*
solrctl --zk $ZK:2181/solr instancedir --generate tmp/${COLLECTION}_configs
mv tmp/${COLLECTION}_configs/conf/solrconfig.xml tmp/${COLLECTION}_configs/conf/solrconfig.xml.bk
mv tmp/${COLLECTION}_configs/conf/solrconfig.xml.secure tmp/${COLLECTION}_configs/conf/solrconfig.xml
cp conf/schema.xml tmp/${COLLECTION}_configs/conf/
solrctl --zk $ZK:2181/solr instancedir --create $COLLECTION tmp/${COLLECTION}_configs
solrctl --zk $ZK:2181/solr collection --create $COLLECTION -s $SHARD -r $REPLICA
solrctl --zk $ZK:2181/solr collection --list
4.创建Collection,这一步操作需要使用solr系统用户登录Kerberos来完成
使用solr系统用户登陆Kerberos
执行脚本创建Collection,collection0731创建成功
5.将准备的csv数据文件导入到Solr中,这一步同样需要solr系统用户来完成
使用solr用户登陆Kerberos
导入csv数据文件
curl --negotiate -u : 'http://cdh178.macro.com:8983/solr/collection0731/update/csv?commit=true' \
-H 'Content-Type: application/csv' \
--data-binary @/root/test0726/data.csv
查看数据导入是否成功
curl --negotiate -u : "http://cdh178.macro.com:8983/solr/collection0731/query?q=*%3A*&wt=json&indent=true"
至此,Collection创建成功,csv数据文件也导入成功,下面用Sentry对Solr进行赋权
3.2 使用Sentry对Solr进行赋权
先创建一个admin角色,并赋予所有权限,然后将admin角色授予solr用户组,该操作需要使用solr系统用户登陆Kerberos来完成
创建角色admin并赋权然后给到solr用户组
solrctl sentry --create-role admin
solrctl sentry --add-role-group admin solr
solrctl sentry --grant-privilege admin 'collection=*->action=*'
solrctl sentry --grant-privilege admin 'config=*->action=*'
查看角色admin的权限
solrctl sentry --list-privileges admin
下面对test用户进行权限测试
1.使用test用户登陆Kerberos,此时未使用Sentry对test用户组进行授权
2.使用未授予任何权限的test用户来查看之前创建的Collection
curl --negotiate -u : "http://cdh178.macro.com:8983/solr/collection0731/query?q=*%3A*&wt=json&indent=true"
由上图可以看出,test用户并没有查看Collection的权限
3.使用未授予任何权限的test用户来对之前创建的Collection进行更新操作
curl --negotiate -u : 'http://cdh178.macro.com:8983/solr/collection0731/update' \
> -H 'Content-Type: application/json' \
> -d '[{"s1":"11", "s2":"1111", "s3":"kkk", "s4":"2019-07-22 18:22:25", "s5":"text11", "s6":"mark"}]'
由上图可以看出,test用户同样没有更新Collection的权限
4.使用Solr用户登陆Kerberos,然后创建角色test,赋予所有Collection的UPDATE权限
solrctl sentry --create-role test
solrctl sentry --add-role-group test test
solrctl sentry --grant-privilege test 'collection=*->action=UPDATE'
solrctl sentry --list-privileges test
5.赋予所有Collection的UPDATE权限后,再次使用test登陆Kerberos,然后对Collection进行更新操作
使用Solr系统用户赋权
solrctl sentry --create-role test
solrctl sentry --add-role-group test test
solrctl sentry --grant-privilege test 'collection=*->action=UPDATE'
solrctl sentry --list-privileges test
使用test用户登陆Kerberos,进行更新操作
curl --negotiate -u : 'http://cdh178.macro.com:8983/solr/collection0731/update' \
-H 'Content-Type: application/json' \
-d '[{"s1":"11", "s2":"1111", "s3":"kkk", "s4":"2019-07-22 18:22:25", "s5":"text11", "s6":"mark"}]'
由上图可以看出,test用户拥有对Collection的UPDATE权限,下面测试test用户对Collection进行查询
curl --negotiate -u : "http://cdh178.macro.com:8983/solr/collection0731/query?q=*%3A*&wt=json&indent=true"
可以看出,查询失败,说明UPDATE权限只能对Collection进行更新操作,而不能进行查询操作
6.使用solr系统用户登陆Kerberos,然后将角色test删除,再重新创建角色test,并赋予所有Collection的QUERY权限,然后再进行测试
使用solr用户登陆进行赋权
solrctl sentry --drop-role test
solrctl sentry --create-role test
solrctl sentry --add-role-group test test
solrctl sentry --grant-privilege test 'collection=*->action=QUERY'
solrctl sentry --list-privileges test
使用test用户登陆Kerberos,然后对Collection进行查询,查询成功
使用test用户登陆Kerberos,然后对Collection进行更新
由上图可以看出,更新操作失败,因为只赋予了QUERY权限,与预期结果一致
7.对test用户赋予所有权限,然后对查询和更新进行测试
使用solr用户对test进行赋权,赋予所有权限
使用test用户登陆Kerberos,进行查询操作,查询成功
使用test用户登陆Kerberos,进行更新操作,更新成功
更新后数据发生了变化,更新操作与查询操作都能成功进行
总结
1.在Solr中使用Sentry进行赋权,需要使用solrconfig.xml.secure这个配置文件来替换掉原本的solrconfig.xml配置文件,这样才能使Sentry的权限管理正常的运行。
2.在Solr中使用Sentry进行赋权操作时,和Hive中一样,需要使用对应的系统用户登陆Kerberos来完成授权,普通用户是无法进行操作的。
3.在Solr中启用Sentry之前,需要先将Kerberos启动,然后一起与Solr进行集成,这样Sentry才能在Solr中正常的赋权。
4.Sentry在Solr中的使用主要是对Collection进行QUERY和UPDATE两种方式的授权,以及授予所有权限的*。
Fayson的github: https://github.com/fayson/cdhproject