基于HUE可视化的大数据权限管理 |
您所在的位置:网站首页 › hive admin用户 › 基于HUE可视化的大数据权限管理 |
● 系统环境说明 Linux环境:centos7.4 CDH:5.16.1 Java:1.8.0_131 LDAP版本:2.4.44 Sentry版本:1.5.1 ● 集群配置 机器数量:50 内存:64G 硬盘:4T CPU核心数:32 关于Ldap的方案,此处就不再赘述,参考我的另一篇文章: Ldap:基于LDAP认证的大数据权限解决方案 Sentry:基于Sentry的大数据权限解决方案 本篇文章主要讲述如何使用HUE可视化地管理大数据权限,过程比较简单,下面我们来进行操作。 前提:集群已完成Ldap和Sentry的权限认证。 安装phpldapadmin(ldap管理工具)首先安装Apache和PHP: yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml然后安装phpldapadmin: yum -y install phpldapadminhttpd与phpldapadmin进行集成: 修改配置文件: root@cdh01 ~ > # vim /etc/phpldapadmin/config.php397行取消注释,398行添加注释: $servers->setValue('login','attr','dn'); // $servers->setValue('login','attr','uid');这里需要修改,如果不修改,phpldapadmin会去用uid去搜索条目,不会用dn去搜索,导致报密码错误。 phpldapadmin的ip过滤规则默认是拒绝所有ip访问,先去修改一下规则,我们才可以访问 vim /etc/httpd/conf.d/phpldapadmin.conf修改配置: # 这是Apache2.2和以前的修改方法 把下面的Deny from all 改为Allow from all #这是apache2.4和以后的修改方法 #允许172.16.10.16访问 Require ip 172.16.10.16 #允许172.16这个网段访问 Require ip 172.16.0.0/16 #允许所有ip访问 Require all granted我们可以根据自己需要修改来,修改完之后启动: systemctl restart httpd访问http://10.100.11.1/phpldapadmin,UI界面: 如果是跟着我的另一篇Ldap文章操作的话,用户名则是:uid=ldapadmin,ou=people,dc=cdh.ai,dc=com,密码则是admin 此处不再赘述,参考文章开头给出的另一篇Ldap权限方案。 HUE代理LDAP用户 在ldap中创建hue用户 (参考另一篇Ldap文章) hue_safety_valve.ini 的 Hue 服务高级配置代码段(安全阀)中添加这些配置: [beeswax] close_queries=True use_sasl=False auth_username=hue auth_password=admin [impala] server_host=cdh01.ali.aiwaystack.com server_interface=hiveserver2 server_port=21050 query_timeout_s=100 impersonation_enabled=True auth_username=hue auth_password=admin 在hive和i mpala的core-site.xml 的 Hive 服务高级配置代码段(安全阀)中增加以下配置: hadoop.proxyuser.hue.hosts * hadoop.proxyuser.hue.groups * 在Hue上创建用户在集群所有节点分别创建系统用户hive/dy1,hive用户所属组为hive组,其它用户所属组也与用户名称一样 通过Hue管理员分别创建用户hive/dy1,且需将hive包含为组成员 点击用户管理: 点击:Users > Add/Sync LDAP user
点击:Groups > Add group 注意:Name必须与hive组名一致,权限需勾选所有,另外dy1也用同样方式创建。 授权hive组为管理员 使用hive用户登录Hue![]() 点击:Roles > Add 添加admin role hive用户可以查看到server1下所有的数据库和表: 使用hive用户创建一个对alluxio_dy库有只读(SELECT)权限的角色dy_role1,并授权给dy1用户组,所属该用户组的用户对alluxio_dy库下所有表只有SECLET权限没有INSERT权限。
点击保存查看: 使用dy1用户登录Hue,可以看到alluxio_dy下所有表 对表进行SELECT、COUNT和INSERT操作 SELECT没有问题: COUNT没有问题: INSERT失败: 同理,表级别、列级别、File Browser等授权操作大同小异。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |