摘要:
前提:cloudera cloudera管理器kerberosldapsentry问题和解决方案:hiveclient直接进入本地模式的hive,而不经过hiveserver2,因此该模式可以访问所有数据库,并具有超级管理员权限;考虑使用直线形式。例如:Java code beeline-u“jdbc:hive2://172.20.0.74:10000/data_system”-nlive-p111111或Java code beeine!例如,bi组对bi库具有读写权限,对其他库具有读权限。添加用户和用户组Java代码useraddbi-u1001usermod-a-Gibildap添加帐户和帐户组Java代码grep-E“dsp:|dmp:”/etc/passwd˃/opt/passwd。txt/usr/share/migrationtools/migrate_passwd.pl/opt/passwd.txt/opt/passwd.ldifldapadd-x-D“uid=ldapadmin,ou=people,dc=yeahmobi,dc=com”-wsecret-f/opt/passwd.ldifgrep-E“dsp:| dmp:”/etc/group˃/opt/group。txt/usr/share/migrationtools/migrate_group.pl/opt/group.txt/opt/group.ldifldapadd-x-D“uid=ldapadmin,ou=people,dc=yeahmobi,dc=com”-wsecret-f/opt/group。ldiflpasswd-x-Duid=ldapadmin,ou=people,dc=yeahmobi,dc=com'-wsecret“uid=dsp,ou=people,dc=yeahmobi”-Sdappasswd-x-D'uid=ldapadmin,ou=people、dc=yeahmobi,dc=com'-wsecret“guid=dmp,ou=person,dc=yeahmobi,dc=com”-SdapPasswd-x-Dou=ldapadin,ou=people,Dc=com'-wssecret“uid=bi,ou=people,Dc=yeahmobi,Dc=com”-在Shadowop中添加相应用户的目录和权限。Java代码hadoopfs mkdir/user/dsphadoopfs chmod-R755/user/dpshadoopfs house Rdsp:如果在dsp/user/dsphive中启用了sentryfile形式的服务,则需要将policyfilebasedsntryenabled设置为false,并在servicewide中选择sentryservice。
转自 http://lookqlp.iteye.com/blog/2189119 。 配置起来较复杂,需要在有测试环境之后再进行配置测试。 之后是有上HUE的计划的,所以这个也是一定要做的。
目标:
给各个业务组提供不同用户及用户组,并有限制的访问hdfs路径,及hive数据库。
前提:
cloudera
cloudera manager
kerberos
ldap
sentry
问题与解决:
hive client直走hive的本地模式,没有经过hiveserver2,所以此种方式能访问所有的数据库,具有超级管理员权限;考虑使用beeline形式。
登陆方式例如:
Java代码
- beeline -u "jdbc:hive2://172.20.0.74:10000/data_system" -nhive -p111111(ldap账户及密码)
或者
Java代码- beeline
- !connect jdbc:hive2://172.20.0.74:10000/data_system;principal=hive/slave-74@YEAHMOBI.COM
输入kerberos账户及密码。
hue版本3.6.0不支持hive ldap,hue会提示不没有hive server2服务,参考issue
https://issues.cloudera.org/browse/HUE-2484
https://issues.cloudera.org/browse/HUE-2566(option1方法可以解决)
具体步骤:hive所有advanced safety value中加上配置:Java代码- cd /opt/cloudera/parcels/CDH/lib/hue
- patch -p1 < /path/to/downloaded/hue-2484.patch
restart HueJava代码- <property>
- <name>hive.server2.authentication</name>
- <value>LDAP</value>
- </property>
未解决问题:hue账户未能与ldap账户同步。
步骤:
- 收集用户及用户组,及对个个库的访问权限。例如bi组对bi库有读写权限及对其他库具有读权限。
- 所有节点增加用户和用户组(所有节点都需要创建,而且uid必须一致)Java代码
- useradd bi -u 1001
- usermod -a -G bi bi
- ldap增加账户及账户组Java代码
- grep -E "dsp:|dmp:" /etc/passwd >/opt/passwd.txt
- /usr/share/migrationtools/migrate_passwd.pl /opt/passwd.txt /opt/passwd.ldif
- ldapadd -x -D "uid=ldapadmin,ou=people,dc=yeahmobi,dc=com" -w secret -f /opt/passwd.ldif
- grep -E "dsp:|dmp:" /etc/group >/opt/group.txt
- /usr/share/migrationtools/migrate_group.pl /opt/group.txt /opt/group.ldif
- ldapadd -x -D "uid=ldapadmin,ou=people,dc=yeahmobi,dc=com" -w secret -f /opt/group.ldif
- ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=yeahmobi,dc=com' -w secret "uid=dsp,ou=people,dc=yeahmobi,dc=com" -S
- ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=yeahmobi,dc=com' -w secret "uid=dmp,ou=people,dc=yeahmobi,dc=com" -S
- ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=yeahmobi,dc=com' -w secret "uid=bi,ou=people,dc=yeahmobi,dc=com" -S
- hadoop中增加相应用户的目录及权限Java代码
- hadoop fs -mkdir /user/dsp
- hadoop fs -chmod -R 755 /user/dsp
- hadoop fs -chown -R dsp:dsp /user/dsp
- hive配置ldap
若之前启用了sentry file形式的服务,需要将policy file based sentry enabled 设置成false,并且service wide中选择sentry service。
service wide advanced safed valuegateway/metastory/hiveserver2 advanced safed value分别加上Java代码- <property>
- <name>hive.server2.authentication</name>
- <value>LDAP</value>
- </property>
- <property>
- <name>hive.server2.authentication.ldap.url</name>
- <value>ldap://ip-10-1-33-20.ec2.internal</value>
- </property>
- <property>
- <name>hive.server2.authentication.ldap.baseDN</name>
- <value>ou=people,dc=yeahmobi,dc=com</value>
- </property>
hue依赖于hive gateway的配置,即必须配置gateway,且修改后hue需要重启。Java代码- <property>
- <name>hive.server2.authentication</name>
- <value>LDAP</value>
- lt;/property>
- 如上问题2
- hue设置ldap
hue server advanced hue_safety_value_server.ini并且选择sevice wide sentry serviceJava代码- [desktop]
- ldap_username=hive
- ldap_password=111111
- hdfs kerberos配置中增加hdfs的权限
service wide security
authorized user、groups设置成* 也行 - yarn增加用户的使用权限
nodemanger group security allowed system users - 重启相关服务,cloudera manager会提示重启整个集群。
- hive server2和metastore启动失败,奇怪现象,测试环境中没有问题,正式环境中出现认证异常,只要加上ldap认证就会失败。
解决办法,重新再别的节点配置新的hive sever2和metastore并且cm上创建新的group。
注意此种解决方案,hue的配置中需要修改hive server2的路径。 - 授权,beeline中使用hive账户登陆和授权Java代码
- beeline -u "jdbc:hive2://172.20.0.74:10000/default" -nhive -p111111
- CREATE ROLE admin_role ;
- GRANT ALL ON SERVER server1 TO ROLE admin_role;
- GRANT ROLE admin_role TO GROUP hive;
- 权限测试,使用新账户登陆测试
beeline -u "jdbc:hive2://172.20.0.74:10000/default" -nbi -p111111
或者通过hue,新建对应账户,beeswax测试。(此处hue与ldap账户没有同步,同步失败,后续解决) - 新增加的账户,若需要访问/user/hive/warehouse,即可能需要读取db下的表数据,进行mapreduce job,如上配置后,由于该目录设置的是771(sentry service要求的),新增账户没有访问权限,想到如下解决办法:
a.将新增账户赋予hive为附加组(所有节点),经过测试可以访问该目录了,但sentry的grant授权没有效果了,即该账户继承了hive的超级权限,此方法失败。
b.采用acl,hdfs开启dfs.namenode.acls.enabled,并hdfs执行如下命令:
hadoop fs -setfacl -R -m user:bi:r-x /user/hive/warehouse,测试是通过的,而且权限都正确。此步骤需要重启整个集群。参考http://www.cloudera.com/content/cloudera/en/documentation/core/latest/topics/cdh_sg_hdfs_ext_acls.html - kerberos对新用户(bi)授权Java代码
- addprinc -randkey krbtgt/new_hostname@YEAHMOBI.COM
- addprinc -randkey host/new_hostname@YEAHMOBI.COM
- addprinc -randkey HTTP/new_hostname@YEAHMOBI.COM
- addprinc -randkey bi/new_hostname@YEAHMOBI.COM
- xst -norandkey -k bi.keytab host/new_hostname@YEAHMOBI.COM
- xst -norandkey -k bi.keytab HTTP/new_hostname@YEAHMOBI.COM
- xst -norandkey -k bi.keytab bi/new_hostname@YEAHMOBI.COM
- mapreduce测试执行hadoop jar 测试Java代码
- kinit -kt bi.keytab bi/new_hostname@YEAHMOBI.COM
- jdbc测试,参见 git clone https://github.com/firecodeman/Cloudera-Impala-Hive-JDBC-Example.gitJava代码
- mvn clean compile
- mvn exec:java -Dexec.mainClass=com.cloudera.example.ClouderaHiveJdbcExample