Hadoop服务层授权控制

Service Level Authorization

　　在默认情况下，service-level authorization功能是不启用的，如果你要开启service-level authorization，需要在$HADOOP_HOME/etc/hadoop/core-site.xml进行如下配置

<property>
  <name>hadoop.security.authorization</name>
  <value>true</value>
  <description>Is service-level authorization enabled?</description>
</property>

设置好后，就开启了Hadoop的service-level authorization，这个生效需要重新启动NameNode节点（其他的节点不需要重启）
　　在Hadoop 2.x版本中Service LevelAuthorization有10个可配置的属性，每个属性可指定拥有相应访问权限的用户或者用户组。每个属性描述如下：

Property

Service

security.client.protocol.acl

ACL for ClientProtocol, which is used by user code via the DistributedFileSystem.

security.client.datanode.protocol.acl

ACL for ClientDatanodeProtocol, the client-to-datanode protocol for block recovery.

security.datanode.protocol.acl

ACL for DatanodeProtocol, which is used by datanodes to communicate with the namenode.

security.inter.datanode.protocol.acl

ACL for InterDatanodeProtocol, the inter-datanode protocol for updating generation timestamp.

security.namenode.protocol.acl

ACL for NamenodeProtocol, the protocol used by the secondary namenode to communicate with the namenode.

security.inter.tracker.protocol.acl

ACL for InterTrackerProtocol, used by the tasktrackers to communicate with the jobtracker.

security.job.submission.protocol.acl

ACL for JobSubmissionProtocol, used by job clients to communciate with the jobtracker for job submission, querying job status etc.

security.task.umbilical.protocol.acl

ACL for TaskUmbilicalProtocol, used by the map and reduce tasks to communicate with the parent tasktracker.

security.refresh.policy.protocol.acl

ACL for RefreshAuthorizationPolicyProtocol, used by the dfsadmin and mradmin commands to refresh the security policy in-effect.

security.ha.service.protocol.acl

ACL for HAService protocol used by HAAdmin to manage the active and stand-by states of namenode.

　　$HADOOP_CONF_DIR/hadoop-policy.xml中的上述10个属性分别是用来控制不同服务的访问权限的。每个属性的值需要遵守一定的格式：每个可配置多个用户，用户之间用“,”分割；同时也可配置多个用户组，分组之间用“,”分割，用户和分组之间用空格分割，比如：Example: user1,user2 group1,group2。如果只有分组，需要在分组前面保留一个空格。如果这个值是*，这说明所有的用户都可以访问相应的服务。
下面举几个例子来说明：
　　（1）、如果只允许某个用户或者某个组内的所有用户提交Mapreduce任务，可以配置如下：

<property>
     <name>security.job.submission.protocol.acl</name>
     <value>alice,bob mapreduce</value>
</property>

　　（2）、如果只运行属于某个组内的用户运行DataNode来和NameNode进行通信，可以使用下面配置实现

<property>
     <name>security.datanode.protocol.acl</name>
     <value> datanodes</value>
</property>

　　（3）、运行所有的用户访问集群上的HDFS，可以使用下面配置实现

<property>
     <name>security.client.protocol.acl</name>
     <value>*</value>
</property>

　　对关于访问NameNode或者JobTracker的service-level authorization修改，不需要重启相应的守护进程，但是集群管理员需要通过下面的命令来加载已经修改的配置：如果修改了有关NameNode的服务配置，可以用下面的命令来动态加载

$ bin/hdfs dfsadmin -refreshServiceAcl

如果修改了有关JobTracker的服务配置，可以用下面的命令来动态加载

$ bin/hdfs mradmin -refreshServiceAcl

翻译自：《Service Level Authorization Guide》

本博客文章除特别声明，全部都是原创！
原创文章版权归过往记忆大数据（过往记忆）所有，未经许可不得转载。
本文链接: 【Hadoop服务层授权控制】（https://www.iteblog.com/archives/983.html）

大规模 Hadoop 升级在 Pinterest 的实践

HDFS 在 B 站的探索和实践

Uber 如何在 Apache Parquet 中使用 ZSTD 压缩减少大量存储空间实践

Uber 是如何提高 HDFS I/O 利用率的

LinkedIn 是如何将 Hadoop YARN 集群扩展到超过一万个节点

汽车之家离线计算平台的演进之路

Apache Hadoop 基础设施容器化在 Uber 的实践

字节跳动十万节点 HDFS 集群多机房架构演进之路

下面文章您可能感兴趣

Hadoop从入门到上手企业开发视频下载[70集]

节日送出五本《Druid实时大数据分析原理与实践》

Hive数据类型转换

Apache Spark 3.2 内置支持会话窗口

[电子书]Apache Spark for Data Science Cookbook PDF下载

常用Hadoop生态圈软件分布式安装文章汇集

SPARK SUMMIT 2015会议PPT百度网盘免费下载(1)

Spark北京Meetup第七次活动

图文介绍 Presto + Velox 整合

实现带有maxBackupIndex属性的DailyRollingFileAppender

Spark1.1.0预览文档(Spark Overview)

一篇文章了解 Spark Shuffle 内存使用

Mahout项目已经实现的算法

MongoDB 4.2 发布，支持分布式事务

Hive insert into语句用法

Spark on Yarn: 你设置的内存都去哪里了？

中缀表达式转成后缀表达式实现

Kafka客户端是如何找到 leader 分区的

Hive：解决Hive创建文件数过多的问题

Kafka集群调优