图文精华

About云-梭伦科技»专题 技术学习(版主发帖区) 大数据学习 Cloudera系列 CDH 5.2 :Impala和Hive集成Sentry
分享

CDH 5.2 :Impala和Hive集成Sentry

nettman 发表于 2015-1-1 20:46:44 [显示全部楼层] 回帖奖励 阅读模式 关闭右栏 9 124363
About云VIP帮助找工作和提升
本帖最后由 nettman 于 2015-1-1 20:50 编辑

问题导读

1.Sentry 的使用有哪两种方式?
2.基于文件的存储方式(SimpleFileProviderBackend)与基于数据库的存储方式分别如何配置?






本文主要记录 CDH 5.2 Hadoop 集群中配置 Impala 和 Hive 集成 Sentry 的过程,包括 Sentry 的安装、配置以及和 Impala、Hive 集成后的测试。
使用 Sentry 来管理集群的权限,需要先在集群上配置好 Kerberos。

Sentry 会安装在三个节点的 hadoop 集群上,每个节点的ip、主机名和部署的组件分配如下:
  1. 192.168.56.121        cdh1     NameNode、Hive、ResourceManager、HBase、impala-state-store、impala-catalog、Kerberos Server、sentry-store

  2. 192.168.56.122        cdh2     DataNode、SSNameNode、NodeManager、HBase、impala-server

  3. 192.168.56.123        cdh3     DataNode、HBase、NodeManager、impala-server
复制代码


Sentry 的使用有两种方式,一是基于文件的存储方式(SimpleFileProviderBackend),一是基于数据库的存储方式(SimpleDbProviderBackend),如果使用基于文件的存储则只需要安装 sentry,否则还需要安装 sentry-store。
1. 基于数据库的存储方式1.1 安装服务
在 cdh1 节点上安装 sentry-store 服务:
  1. yum install sentry sentry-store -y
复制代码


修改 Sentry 的配置文件 /etc/sentry/conf/sentry-store-site.xml,下面的配置参考了 Sentry源码中的配置例子
  1. <?xml version="1.0" encoding="UTF-8"?>

  2. <configuration>

  3.     <property>

  4.         <name>sentry.service.admin.group</name>

  5.         <value>impala,hive,hue</value>

  6.     </property>

  7.     <property>

  8.         <name>sentry.service.allow.connect</name>

  9.         <value>impala,hive,hue</value>

  10.     </property>

  11.     <property>

  12.         <name>sentry.verify.schema.version</name>

  13.         <value>true</value>

  14.     </property>

  15.     <property>

  16.     <name>sentry.service.server.rpc-address</name>

  17.     <value>cdh1</value>

  18.     </property>

  19.     <property>

  20.     <name>sentry.service.server.rpc-port</name>

  21.     <value>8038</value>

  22.     </property>

  23.     <property>

  24.         <name>sentry.store.jdbc.url</name>

  25.         <value>jdbc:postgresql://cdh1/sentry</value>

  26.     </property>

  27.     <property>

  28.         <name>sentry.store.jdbc.driver</name>

  29.         <value>org.postgresql.Driver</value>

  30.     </property>

  31.     <property>

  32.         <name>sentry.store.jdbc.user</name>

  33.         <value>sentry</value>

  34.     </property>

  35.     <property>

  36.         <name>sentry.store.jdbc.password</name>

  37.         <value>redhat</value>

  38.     </property>

  39.     <property>

  40.         <name>sentry.hive.server</name>

  41.         <value>server1</value>

  42.     </property>

  43.     <property>

  44.         <name>sentry.store.group.mapping</name>

  45.         <value>org.apache.sentry.provider.common.HadoopGroupMappingService</value>

  46.     </property>

  47. </configuration>
复制代码


创建数据库,请参考 Hadoop自动化安装shell脚本
  1. yum install postgresql-server postgresql-jdbc -y

  2. 

  3. ln -s /usr/share/java/postgresql-jdbc.jar /usr/lib/hive/lib/postgresql-jdbc.jar

  4. ln -s /usr/share/java/postgresql-jdbc.jar /usr/lib/sentry/lib/postgresql-jdbc.jar

  5. 

  6. su -c "cd ; /usr/bin/pg_ctl start -w -m fast -D /var/lib/pgsql/data" postgres

  7. su -c "cd ; /usr/bin/psql --command "create user sentry with password 'redhat'; " " postgres

  8. su -c "cd ; /usr/bin/psql --command "CREATE DATABASE sentry owner=sentry;" " postgres

  9. su -c "cd ; /usr/bin/psql --command "GRANT ALL privileges ON DATABASE sentry TO sentry;" " postgres

  10. su -c "cd ; /usr/bin/psql -U sentry -d sentry -f /usr/lib/sentry/scripts/sentrystore/upgrade/sentry-postgres-1.4.0-cdh5.sql" postgres

  11. su -c "cd ; /usr/bin/pg_ctl restart -w -m fast -D /var/lib/pgsql/data" postgres
复制代码



/var/lib/pgsql/data/pg_hba.conf 内容如下:
  1. # TYPE  DATABASE    USER        CIDR-ADDRESS          METHOD

  2. 

  3. # "local" is for Unix domain socket connections only

  4. local   all         all                               md5

  5. # IPv4 local connections:

  6. #host    all         all         0.0.0.0/0             trust

  7. host    all         all         127.0.0.1/32          md5

  8. 

  9. # IPv6 local connections:

  10. #host    all         all         ::1/128               nd5
复制代码


如果集群开启了 Kerberos 验证,则需要在该节点上生成 Sentry 服务的 principal 并导出为 ticket:
  1. $ cd /etc/sentry/conf

  2. 

  3. kadmin.local -q "addprinc -randkey sentry/cdh1@JAVACHEN.COM "

  4. kadmin.local -q "xst -k sentry.keytab sentry/cdh1@JAVACHEN.COM "

  5. 

  6. chown sentry:hadoop sentry.keytab ; chmod 400 *.keytab
复制代码


然后,在/etc/sentry/conf/sentry-store-site.xml 中添加如下内容:
  1. <property>

  2.     <name>sentry.service.security.mode</name>

  3.     <value>kerberos</value>

  4. </property>

  5. <property>

  6.    <name>sentry.service.server.principal</name>

  7.     <value>sentry/cdh1@JAVACHEN.COM</value>

  8. </property>

  9. <property>

  10.     <name>sentry.service.server.keytab</name>

  11.     <value>/etc/sentry/conf/sentry.keytab</value>

  12. </property>
复制代码


1.2. 准备测试数据
参考 Securing Impala for analysts,准备测试数据:
  1. $ cat /tmp/events.csv

  2. 10.1.2.3,US,android,createNote

  3. 10.200.88.99,FR,windows,updateNote

  4. 10.1.2.3,US,android,updateNote

  5. 10.200.88.77,FR,ios,createNote

  6. 10.1.4.5,US,windows,updateTag

  7. 

  8. $ hive -S

  9. hive> create database sensitive;

  10. hive> create table sensitive.events (

  11.     ip STRING, country STRING, client STRING, action STRING

  12.   ) ROW FORMAT DELIMITED FIELDS TERMINATED BY ',';

  13. 

  14. hive> load data local inpath '/tmp/events.csv' overwrite into table sensitive.events;

  15. hive> create database filtered;

  16. hive> create view filtered.events as select country, client, action from sensitive.events;

  17. hive> create view filtered.events_usonly as

  18.   select * from filtered.events where country = 'US';
复制代码


1.3 Hive-server2 集成 sentry要求
在使用 Sentry 时,有如下要求:
1、需要修改 /user/hive/warehouse 权限:
  1. hdfs dfs -chmod -R 770 /user/hive/warehouse

  2. hdfs dfs -chown -R hive:hive /user/hive/warehouse
复制代码


2、修改 hive-site.xml 文件,关掉 HiveServer2 impersonation
3、taskcontroller.cfg 文件中确保 min.user.id=0
修改配置文件
修改 hive-site.xml,添加如下:
  1. <property>

  2.     <name>hive.security.authorization.task.factory</name>

  3.         <value>org.apache.sentry.binding.hive.SentryHiveAuthorizationTaskFactoryImpl</value>

  4. </property>

  5. <property>

  6.     <name>hive.server2.session.hook</name>

  7.     <value>org.apache.sentry.binding.hive.HiveAuthzBindingSessionHook</value>

  8. </property>

  9. <property>

  10.     <name>hive.sentry.conf.url</name>

  11.     <value>file:///etc/hive/conf/sentry-site.xml</value>

  12. </property>
复制代码


在 /etc/hive/conf/ 目录创建 sentry-site.xml:
  1. <?xml version="1.0" encoding="UTF-8"?>

  2. <configuration>

  3. <property>

  4.    <name>sentry.service.client.server.rpc-port</name>

  5.    <value>8038</value>

  6. </property>

  7. <property>

  8.    <name>sentry.service.client.server.rpc-address</name>

  9.    <value>cdh1</value>

  10. </property>

  11. <property>

  12.    <name>sentry.service.client.server.rpc-connection-timeout</name>

  13.    <value>200000</value>

  14. </property>

  15. <property>

  16.     <name>sentry.service.security.mode</name>

  17.     <value>kerberos</value>

  18. </property>

  19. <property>

  20.    <name>sentry.service.server.principal</name>

  21.     <value>sentry/_HOST@JAVACHEN.COM</value>

  22. </property>

  23. <property>

  24.     <name>sentry.service.server.keytab</name>

  25.     <value>/etc/sentry/conf/sentry.keytab</value>

  26. </property>

  27. <property>

  28.     <name>sentry.hive.provider</name>

  29.     <value>org.apache.sentry.provider.file.HadoopGroupResourceAuthorizationProvider</value>

  30.   </property>

  31. <property>

  32.     <name>sentry.hive.provider.backend</name>

  33.     <value>org.apache.sentry.provider.db.SimpleDBProviderBackend</value>

  34.   </property>

  35. <property>

  36.     <name>sentry.hive.server</name>

  37.     <value>server1</value>

  38.   </property>

  39.   <property>

  40.     <name>sentry.metastore.service.users</name>

  41.     <value>hive</value>

  42.   </property>

  43. <property>

  44.     <name>sentry.hive.testing.mode</name>

  45.     <value>false</value>

  46.   </property>

  47. </configuration>
复制代码


sentry-store 中创建角色和组
在 beeline 中通过 hive(注意,在 sentry 中 hive 为管理员用户)的 ticket 连接 hive-server2,创建 role、group 等等,执行下面语句:
  1. create role admin_role;

  2. GRANT ALL ON SERVER server1 TO ROLE admin_role;

  3. GRANT ROLE admin_role TO GROUP admin;

  4. GRANT ROLE admin_role TO GROUP hive;

  5. 

  6. create role test_role;

  7. GRANT ALL ON DATABASE filtered TO ROLE test_role;

  8. GRANT ALL ON DATABASE sensitive TO ROLE test_role;

  9. GRANT ROLE test_role TO GROUP test;
复制代码


上面创建了两个角色,一个是 admin_role,具有管理员权限,可以读写所有数据库,并授权给 admin 和 hive 组(对应操作系统上的组);一个是 test_role,只能读写 filtered 和 sensitive 数据库,并授权给 test 组
在 ldap 创建测试用户
在 ldap 服务器上创建系统用户 yy_test,并使用 migrationtools 工具将该用户导入 ldap,最后设置 ldap 中该用户密码。
  1. # 创建 yy_test用户

  2. useradd yy_test

  3. 

  4. grep -E "yy_test" /etc/passwd  >/opt/passwd.txt

  5. /usr/share/migrationtools/migrate_passwd.pl /opt/passwd.txt /opt/passwd.ldif

  6. ldapadd -x -D "uid=ldapadmin,ou=people,dc=lashou,dc=com" -w secret -f /opt/passwd.ldif

  7. 

  8. #使用下面语句修改密码,填入上面生成的密码,输入两次:

  9. 

  10. ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=lashou,dc=com' -w secret "uid=yy_test,ou=people,dc=lashou,dc=com" -S
复制代码


在每台 datanode 机器上创建 test 分组,并将 yy_test 用户加入到 test 分组:
  1. groupadd test ; useradd yy_test; usermod -G test,yy_test yy_test
复制代码


测试
通过 beeline 连接 hive-server2,进行测试:
  1. # 切换到 test 用户进行测试

  2. $ su test

  3. 

  4. $ kinit -k -t test.keytab test/cdh1@JAVACHEN.COM

  5. 

  6. $ beeline -u "jdbc:hive2://cdh1:10000/default;principal=test/cdh1@JAVACHEN.COM"
复制代码


1.4 Impala 集成 Sentry修改配置
修改 /etc/default/impala 文件中的 IMPALA_SERVER_ARGS 参数,添加:
  1. -server_name=server1

  2. -sentry_config=/etc/impala/conf/sentry-site.xml
复制代码


在 IMPALA_CATALOG_ARGS 中添加:
  1. -sentry_config=/etc/impala/conf/sentry-site.xml
复制代码


注意:server1 必须和 sentry-provider.ini 文件中的保持一致。
IMPALA_SERVER_ARGS 参数最后如下:
  1. hostname=`hostname -f |tr "[:upper:]" "[:lower:]"`

  2. 

  3. IMPALA_SERVER_ARGS=" \

  4.     -log_dir=${IMPALA_LOG_DIR} \

  5.     -catalog_service_host=${IMPALA_CATALOG_SERVICE_HOST} \

  6.     -state_store_port=${IMPALA_STATE_STORE_PORT} \

  7.     -use_statestore \

  8.     -state_store_host=${IMPALA_STATE_STORE_HOST} \

  9.     -kerberos_reinit_interval=60 \

  10.     -principal=impala/${hostname}@JAVACHEN.COM \

  11.     -keytab_file=/etc/impala/conf/impala.keytab \

  12.     -enable_ldap_auth=true -ldap_uri=ldaps://cdh1 -ldap_baseDN=ou=people,dc=javachen,dc=com \

  13.     -server_name=server1 \

  14.     -sentry_config=/etc/impala/conf/sentry-site.xml \

  15.     -be_port=${IMPALA_BACKEND_PORT} -default_pool_max_requests=-1 -mem_limit=60%"
复制代码


创建 /etc/impala/conf/sentry-site.xml 内容如下:
  1. <?xml version="1.0" encoding="UTF-8"?>

  2. <configuration>

  3. <property>

  4.    <name>sentry.service.client.server.rpc-port</name>

  5.    <value>8038</value>

  6. </property>

  7. <property>

  8.    <name>sentry.service.client.server.rpc-address</name>

  9.    <value>cdh1</value>

  10. </property>

  11. <property>

  12.    <name>sentry.service.client.server.rpc-connection-timeout</name>

  13.    <value>200000</value>

  14. </property>

  15. <property>

  16.     <name>sentry.service.security.mode</name>

  17.     <value>kerberos</value>

  18. </property>

  19. <property>

  20.    <name>sentry.service.server.principal</name>

  21.     <value>sentry/_HOST@JAVACHEN.COM</value>

  22. </property>

  23. <property>

  24.     <name>sentry.service.server.keytab</name>

  25.     <value>/etc/sentry/conf/sentry.keytab</value>

  26. </property>

  27. </configuration>
复制代码


测试
请参考下午基于文件存储方式中 impala 的测试。
2. 基于文件存储方式2.1 hive 集成 sentry修改配置文件
在 hive 的 /etc/hive/conf 目录下创建 sentry-site.xml 文件,内容如下:
  1. <?xml version="1.0" encoding="UTF-8"?>

  2. <configuration>

  3.   <property>

  4.     <name>hive.sentry.server</name>

  5.     <value>server1</value>

  6.   </property>

  7.   <property>

  8.     <name>sentry.hive.provider.backend</name>

  9.     <value>org.apache.sentry.provider.file.SimpleFileProviderBackend</value>

  10.   </property>

  11.   <property>

  12.     <name>hive.sentry.provider</name>

  13.     <value>org.apache.sentry.provider.file.HadoopGroupResourceAuthorizationProvider</value>

  14.   </property>

  15.   <property>

  16.     <name>hive.sentry.provider.resource</name>

  17.     <value>/user/hive/sentry/sentry-provider.ini</value>

  18.   </property>

  19. </configuration>
复制代码


创建 sentry-provider.ini 文件并将其上传到 hdfs 的 /user/hive/sentry/ 目录:
  1. $ cat /tmp/sentry-provider.ini

  2. [databases]

  3. # Defines the location of the per DB policy file for the customers DB/schema

  4. #db1 = hdfs://cdh1:8020/user/hive/sentry/db1.ini

  5. 

  6. [groups]

  7. admin = any_operation

  8. hive = any_operation

  9. test = select_filtered

  10. 

  11. [roles]

  12. any_operation = server=server1->db=*->table=*->action=*

  13. select_filtered = server=server1->db=filtered->table=*->action=SELECT

  14. select_us = server=server1->db=filtered->table=events_usonly->action=SELECT

  15. 

  16. [users]

  17. test = test

  18. hive= hive

  19. 

  20. $ hdfs dfs -rm -r /user/hive/sentry/sentry-provider.ini

  21. $ hdfs dfs -put /tmp/sentry-provider.ini /user/hive/sentry/

  22. $ hdfs dfs -chown hive:hive /user/hive/sentry/sentry-provider.ini

  23. $ hdfs dfs -chmod 640 /user/hive/sentry/sentry-provider.ini
复制代码


关于 sentry-provider.ini 文件的语法说明,请参考官方文档。这里我指定了 Hive 组有全部权限,并指定 Hive 用户属于 Hive 分组,而其他两个分组只有部分权限。
然后在 hive-site.xml 中添加如下配置:
  1. <property>

  2.     <name>hive.security.authorization.task.factory</name>

  3.         <value>org.apache.sentry.binding.hive.SentryHiveAuthorizationTaskFactoryImpl</value>

  4. </property>

  5. <property>

  6.     <name>hive.server2.session.hook</name>

  7.     <value>org.apache.sentry.binding.hive.HiveAuthzBindingSessionHook</value>

  8. </property>

  9. <property>

  10.     <name>hive.sentry.conf.url</name>

  11.     <value>file:///etc/hive/conf/sentry-site.xml</value>

  12. </property>
复制代码


将配置文件同步到其他节点,并重启 hive-server2 服务。
测试
这里,我集群中 hive-server2 开启了 kerberos 认证,故通过 hive 用户来连接 hive-server2。
  1. $ kinit -k -t /etc/hive/conf/hive.keytab hive/cdh1@JAVACHEN.COM

  2. 

  3. $ beeline -u "jdbc:hive2://cdh1:10000/default;principal=hive/cdh1@JAVACHEN.COM"

  4.     scan complete in 10ms

  5.     Connecting to jdbc:hive2://cdh1:10000/default;principal=hive/cdh1@JAVACHEN.COM

  6.     Connected to: Apache Hive (version 0.13.1-cdh5.2.0)

  7.     Driver: Hive JDBC (version 0.13.1-cdh5.2.0)

  8.     Transaction isolation: TRANSACTION_REPEATABLE_READ

  9.     Beeline version 0.13.1-cdh5.2.0 by Apache Hive

  10.     5 rows selected (0.339 seconds)

  11. 

  12.     0: jdbc:hive2://cdh1:10000/default> show databases;

  13.     +----------------+--+

  14.     | database_name  |

  15.     +----------------+--+

  16.     | default        |

  17.     | filtered       |

  18.     | sensitive      |

  19.     +----------------+--+

  20.     10 rows selected (0.145 seconds)

  21. 

  22.     0: jdbc:hive2://cdh1:10000/default> use filtered

  23.     No rows affected (0.132 seconds)

  24. 

  25.     0: jdbc:hive2://cdh1:10000/default> show tables;

  26.     +----------------+--+

  27.     |    tab_name    |

  28.     +----------------+--+

  29.     | events         |

  30.     | events_usonly  |

  31.     +----------------+--+

  32.     2 rows selected (0.158 seconds)

  33.     0: jdbc:hive2://cdh1:10000/default> use sensitive;

  34.     No rows affected (0.115 seconds)

  35. 

  36.     0: jdbc:hive2://cdh1:10000/default> show tables;

  37.     +-----------+--+

  38.     | tab_name  |

  39.     +-----------+--+

  40.     | events    |

  41.     +-----------+--+

  42.     1 row selected (0.148 seconds)
复制代码


2.3 impala 集成 sentry修改配置文件
修改 /etc/default/impala 文件中的 IMPALA_SERVER_ARGS 参数,添加:
  1. -server_name=server1

  2. -authorization_policy_file=/user/hive/sentry/sentry-provider.ini

  3. -authorization_policy_provider_class=org.apache.sentry.provider.file.LocalGroupResourceAuthorizationProvider
复制代码


注意:server1 必须和 sentry-provider.ini 文件中的保持一致。
IMPALA_SERVER_ARGS 参数最后如下:
  1. hostname=`hostname -f |tr "[:upper:]" "[:lower:]"`

  2. 

  3. IMPALA_SERVER_ARGS=" \

  4.     -log_dir=${IMPALA_LOG_DIR} \

  5.     -catalog_service_host=${IMPALA_CATALOG_SERVICE_HOST} \

  6.     -state_store_port=${IMPALA_STATE_STORE_PORT} \

  7.     -use_statestore \

  8.     -state_store_host=${IMPALA_STATE_STORE_HOST} \

  9.     -be_port=${IMPALA_BACKEND_PORT} \

  10.     -server_name=server1 \

  11.     -authorization_policy_file=/user/hive/sentry/sentry-provider.ini \

  12.     -authorization_policy_provider_class=org.apache.sentry.provider.file.LocalGroupResourceAuthorizationProvider \

  13.     -enable_ldap_auth=true -ldap_uri=ldaps://cdh1 -ldap_baseDN=ou=people,dc=javachen,dc=com \

  14.     -kerberos_reinit_interval=60 \

  15.     -principal=impala/${hostname}@JAVACHEN.COM \

  16.     -keytab_file=/etc/impala/conf/impala.keytab \

  17. "
复制代码


测试
重启 impala-server 服务,然后进行测试。因为我这里 impala-server 集成了 kerberos 和 ldap,现在通过 ldap 来进行测试。
先通过 ldap 的 test 用户来测试:
  1. impala-shell -l -u test

  2.     Starting Impala Shell using LDAP-based authentication

  3.     LDAP password for test:

  4.     Connected to cdh1:21000

  5.     Server version: impalad version 2.0.0-cdh5 RELEASE (build ecf30af0b4d6e56ea80297df2189367ada6b7da7)

  6.     Welcome to the Impala shell. Press TAB twice to see a list of available commands.

  7. 

  8.     Copyright (c) 2012 Cloudera, Inc. All rights reserved.

  9. 

  10.     (Shell build version: Impala Shell v2.0.0-cdh5 (ecf30af) built on Sat Oct 11 13:56:06 PDT 2014)

  11. 

  12. [cdh1:21000] > show databases;

  13.     Query: show databases

  14.     +---------+

  15.     | name    |

  16.     +---------+

  17.     | default |

  18.     +---------+

  19.     Fetched 1 row(s) in 0.11s

  20. 

  21. [cdh1:21000] > show tables;

  22. 

  23.     Query: show tables

  24.     ERROR: AuthorizationException: User 'test' does not have privileges to access: default.*

  25. 

  26. [cdh1:21000] >
复制代码


可以看到 test 用户没有权限查看和数据库,这是因为 sentry-provider.ini 文件中并没有给 test 用户分配任何权限。
下面使用 hive 用户来测试。使用下面命令在 ldap 中创建 hive 用户和组并给 hive 用户设置密码。
  1. $ grep hive /etc/passwd  >/opt/passwd.txt

  2. $ /usr/share/migrationtools/migrate_passwd.pl /opt/passwd.txt /opt/passwd.ldif

  3. 

  4. $ ldapadd -x -D "uid=ldapadmin,ou=people,dc=javachen,dc=com" -w secret -f /opt/passwd.ldif

  5. 

  6. $ grep hive /etc/group  >/opt/group.txt

  7. $ /usr/share/migrationtools/migrate_group.pl /opt/group.txt /opt/group.ldif

  8. 

  9. $ ldapadd -x -D "uid=ldapadmin,ou=people,dc=javachen,dc=com" -w secret -f /opt/group.ldif

  10. 

  11. # 修改 ldap 中 hive 用户密码

  12. $ ldappasswd -x -D 'uid=ldapadmin,ou=people,dc=javachen,dc=com' -w secret "uid=hive,ou=people,dc=javachen,dc=com" -S
复制代码


然后,使用 hive 用户测试:
  1. $ impala-shell -l -u hive

  2.     Starting Impala Shell using LDAP-based authentication

  3.     LDAP password for hive:

  4.     Connected to cdh1:21000

  5.     Server version: impalad version 2.0.0-cdh5 RELEASE (build ecf30af0b4d6e56ea80297df2189367ada6b7da7)

  6.     Welcome to the Impala shell. Press TAB twice to see a list of available commands.

  7. 

  8.     Copyright (c) 2012 Cloudera, Inc. All rights reserved.

  9. 

  10.     (Shell build version: Impala Shell v2.0.0-cdh5 (ecf30af) built on Sat Oct 11 13:56:06 PDT 2014)

  11. 

  12. [cdh1:21000] > show databases;

  13.     Query: show databases

  14.     +------------------+

  15.     | name             |

  16.     +------------------+

  17.     | _impala_builtins |

  18.     | default          |

  19.     | filtered         |

  20.     | sensitive        |

  21.     +------------------+

  22.     Fetched 11 row(s) in 0.11s

  23. 

  24. [cdh1:21000] > use sensitive;

  25.     Query: use sensitive

  26. 

  27. [cdh1:21000] > show tables;

  28.     Query: show tables

  29.     +--------+

  30.     | name   |

  31.     +--------+

  32.     | events |

  33.     +--------+

  34.     Fetched 1 row(s) in 0.11s

  35. 

  36. [cdh1:21000] > select * from events;

  37.     Query: select * from events

  38.     +--------------+---------+---------+------------+

  39.     | ip           | country | client  | action     |

  40.     +--------------+---------+---------+------------+

  41.     | 10.1.2.3     | US      | android | createNote |

  42.     | 10.200.88.99 | FR      | windows | updateNote |

  43.     | 10.1.2.3     | US      | android | updateNote |

  44.     | 10.200.88.77 | FR      | ios     | createNote |

  45.     | 10.1.4.5     | US      | windows | updateTag  |

  46.     +--------------+---------+---------+------------+

  47.     Fetched 5 row(s) in 0.76s
复制代码


同样,你还可以使用其他用户来测试。
也可以使用 beeline 来连接 impala-server 来进行测试:
  1. $ beeline -u "jdbc:hive2://cdh1:21050/default;" -n test -p test

  2.   scan complete in 2ms

  3.   Connecting to jdbc:hive2://cdh1:21050/default;

  4.   Connected to: Impala (version 2.0.0-cdh5)

  5.   Driver: Hive JDBC (version 0.13.1-cdh5.2.0)

  6.   Transaction isolation: TRANSACTION_REPEATABLE_READ

  7.   Beeline version 0.13.1-cdh5.2.0 by Apache Hive

  8.   0: jdbc:hive2://cdh1:21050/default>
复制代码







加微信w3aboutyun,可拉入技术爱好者群
回复

使用道具 举报

自定义广告语

已有(10)人评论

跳转到指定楼层
正序浏览
linux91 发表于 2015-5-15 10:57:12
楼主:我有两个问题:1、使用sentry时,一定要先安装Kerberos和ldap吗?2、如何在sentry里配置用户并赋角色,我在cm的界面里找了好久没找到
回复

使用道具 举报

xuanxufeng 发表于 2015-5-15 11:37:27
linux91 发表于 2015-5-15 10:57
楼主:我有两个问题:1、使用sentry时,一定要先安装Kerberos和ldap吗?2、如何在sentry里配置用户并赋角色 ...

先配置是没有错的,可以使用命令授权
回复

使用道具 举报

nettman 发表于 2015-5-15 15:48:16
linux91 发表于 2015-5-15 10:57
楼主:我有两个问题:1、使用sentry时,一定要先安装Kerberos和ldap吗?2、如何在sentry里配置用户并赋角色 ...

Sentry为确保数据安全,提供了一个统一平台,使用现有的Hadoop Kerberos实现安全认证。授权是通过命令。Sentry通过一组特权,如SELECT和INSERT,控制着对Hive Metastore中每个schema对象的访问


更多:

Sentry通过一组特权,如SELECT和INSERT,控制着对Hive Metastore中每个schema对象的访问。schema对象是数据管理中常见的实体,例如SERVER、DATABASE、TABLE、 COLUMN和URI,也就是HDFS中文件的位置。Cloudera Search有它自己的一组特权(如QUERY)和对象(如COLLECTION)。
    和IT团队已经熟悉的其他RBAC系统一样,Sentry提供了:
有层次结构的对象,自动地从上层对象继承权限;
包含了一组多个对象/权限对的规则;
用户组可以被授予一个或多个角色;
用户可以被指定到一个或多个用户组中。
    Sentry通常被配制成默认不允许访问服务和数据。因此,在被划分到设有指定访问角色的用户组之前,用户只有有限的权限访问系统。





Sentry下的数据访问和授权
通过引进Sentry,Hadoop目前可在以下方面满足企业和政府用户的RBAC(role-based acess control)需求:

  • 安全授权:Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。
  • 细粒度访问控制:Sentry支持细粒度的Hadoop数据和元数据访问控制。在Hive和Impala中Sentry的最初发行版本中,Sentry在服务器、数据库、表和视图范围提供了不同特权级别的访问控制,包括查找、插入等——允许管理员使用视图限制对行或列的访问。管理员也可以通过Sentry和带选择语句的视图或UDF,根据需要在文件内屏蔽数据。
  • 基于角色的管理:Sentry通过基于角色的授权简化了管理,你可以轻易将访问同一数据集的不同特权级别授予多个组。例如,对于某特定数据集,你可以分配给反欺诈小组查看所有列的特权,给分析师查看非敏感或非PII(personally identifiable information)列的权限,给数据接收流插入新数据到HDFS的权限。
  • 多租户管理:Sentry允许为委派给不同管理员的不同数据集设置权限。在Hive/Impala的情况下,Sentry可以在数据库/schema级别进行权限管理。
  • 统一平台:Sentry为确保数据安全,提供了一个统一平台,使用现有的Hadoop Kerberos实现安全认证。同时,通过Hive或Impala访问数据时可以使用同样的Sentry协议。未来,Sentry协议会被扩展到其它组件。

接下来,将通过Sentry的架构介绍这些功能是如何实现的。


回复

使用道具 举报

linux91 发表于 2015-5-18 09:37:06
xuanxufeng 发表于 2015-5-15 11:37
先配置是没有错的,可以使用命令授权

我在impala里边可以使用grant授权角色,可是不知道如何跟用户和组联系起来,如果我不配置Kerberos和ldap,如何利用hadoop的用户和分组,或者是linux系统的分组?
回复

使用道具 举报

xuanxufeng 发表于 2015-5-19 00:58:26
linux91 发表于 2015-5-18 09:37
我在impala里边可以使用grant授权角色,可是不知道如何跟用户和组联系起来,如果我不配置Kerberos和ldap ...

impala与hive都是粗粒度
Sentry配置后,可以细粒度控制
回复

使用道具 举报

linux91 发表于 2015-5-21 14:14:06
xuanxufeng 发表于 2015-5-19 00:58
impala与hive都是粗粒度
Sentry配置后,可以细粒度控制

Kerberos作为验证的时候,是验证整个服务器(所有在服务器的系统用户)吗?只要服务器允许连接,所有用户都可以登录?LDAP可以验证单个用户登录的吧?

点评

xuanxufeng
允许授权的用户登录  发表于 2015-5-22 10:20
回复

使用道具 举报

blackmoon 发表于 2015-6-2 16:59:31
楼主,你好,请教一下,部署了kerberos & sentry的hive,通过beeline连接时指定的principal是不是应该是启动hiveserver2的principal,我看主楼的过程中有这么一条命令:

beeline -u "jdbc:hive2://cdh1:10000/default;principal=test/cdh1@JAVACHEN.COM"

后面又说:

我集群中 hive-server2 开启了 kerberos 认证,故通过 hive 用户来连接 hive-server2。
beeline -u "jdbc:hive2://cdh1:10000/default;principal=hive/cdh1@JAVACHEN.COM"

如果可以通过其他principal来连接到hiveserver2的话还请指点一下。
回复

使用道具 举报

分痴_mak3c 发表于 2016-3-29 19:37:42
楼主, 我最近也碰到了这个问题。  我的CDH5.5.1并未配置kdc或则ldap用户验证,想使用sentry来细分hive权限。  问题是无论用什么用户登入beeline -u jdbc:hive2://hadoop01:10000/default -n XXX -p XXX,都无法操作hive数据库,例如use default,会提示User cloudera-scm does not have privileges for SWITCHDATABASE 。   

尝试使用linux用户cloudera-scm登入,并把组加进去,还是没权限:
sentry.service.admin.group=hive,hue,impala,cloudera-scm

又尝试将hive.sentry.provider改成org.apache.sentry.provider.file.LocalGroupResourceAuthorizationProvider也不行。  

求助!
回复

使用道具 举报

silencenjupt 发表于 2018-6-5 14:08:32
博主你好,hiveserver2集成sentry,使用hive.sentry.conf.url在hive-site.xml中配置不会报错吗?因为官网没有这个配置项 啊
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发表新帖
nettman

超级版主

关注

  • 2849

    主题

  • 3142

    帖子

  • 477

    粉丝

TA的主题
关闭

推荐上一条 /2 下一条

关于我们· 联系我们· 加入我们· 小黑屋· 合作伙伴   

Copyright © 2001-2024 About云-梭伦科技 Powered by Discuz! X3.4 Licensed Discuz Team.

简书 / Smrz 京ICP备2020039040号 Wxb 简书网举报电话:021-34700000