首页 文章 精选 留言 我的

hive集成kerberos问题1

2017-11-20 709
 在hdfs+mapred+impala+kerberos运行正常后,开始测试hive+kerberos。hive0.11之后开始支持kerberos的验证,hive主要有两种访问方式,一种方法是shell运行,即直接运行hive命令,另一种方法时启动hiveserver,然后通过jdbc或odbc进行验证,其中第二种方法可以通过hive0.11的beeline进行测试。
在使用hive shell运行时,主要遇到下面几个问题:
1.权限验证问题。
在hive操作hdfs数据的时候,权限是分为两层的,一个是hive层面的权限控制,主要是控制表的权限,一个是hdfs文件的权限控制,控制用户的读写操作。
表的相关权限主要是写在hive的元数据库中,主要是TBL_PRIVS表(控制表的权限)和DB_PRIVS 表(控制库的权限)。
在开启kerberos之后,传入hive的用户名是principal的全名,比如hdfs/gxxxx@KERBEROS_HADOOP,而hive权限表中的PRINCIPAL_NAME 字段是hdfs,会导致没有表的权限,虽然可以通过update表来更改相应的PRINCIPAL_NAME 的值,但是实际使用中缺乏可运维性。在hdfs层面,有一个user mapping的功能(由hadoop.security.auth_to_local参数控制),默认会把principal的全名进行map,转换为unix的用户名形式。

2.hook的问题。
由于hive有grant的bug,因此线上使用了hook来做用户验证,即执行grant语法是会判断当前用户是否是hdfs用户,如果不是则报错,主要的代码如下(老毕提供):
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
import  java.util.HashSet;
import  org.apache.hadoop.hive.ql.parse.ASTNode;
import  org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import  org.apache.hadoop.hive.ql.parse.HiveParser;
import  org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import  org.apache.hadoop.hive.ql.parse.SemanticException;
import  org.apache.hadoop.hive.ql.session.SessionState;
import  org.apache.commons.logging.Log;
import  org.apache.commons.logging.LogFactory;
public  class  AuthHook  extends  AbstractSemanticAnalyzerHook {
      static  final  private  Log LOG = LogFactory.getLog(AuthHook. class .getName());
      private  static  HashSet<String> adminlist =  new  HashSet<String>() {
           {add( "hdfs" );}
      };
      private  static  String adminstr =  "hdfs" ;
      @Override
      public  ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
                ASTNode ast)  throws  SemanticException {
           switch  (ast.getToken().getType()) {
           case  HiveParser.TOK_CREATEDATABASE:
           case  HiveParser.TOK_DROPDATABASE:
           case  HiveParser.TOK_CREATEROLE:
           case  HiveParser.TOK_DROPROLE:
           case  HiveParser.TOK_GRANT:
           case  HiveParser.TOK_REVOKE:
           case  HiveParser.TOK_GRANT_ROLE:
           case  HiveParser.TOK_REVOKE_ROLE:
                String userName =  null ;
                if  (SessionState.get() !=  null  && SessionState.get().getAuthenticator() !=  null ) {
                     userName = SessionState.get().getAuthenticator().getUserName();
                }
                LOG.debug( "authhook username = " +userName);
                if  (!adminlist.contains(userName.toLowerCase())) {
                     throw  new  SemanticException( "User:" +userName
                               " isn't ADMIN, please ask for "  + adminstr +  "." );
                }
                break ;
           default :
                LOG.debug( "AST type = " +ast.getToken().getType());
                break ;
           }
           return  ast;
      }
}

其中获取当前传入的用户名是通过 SessionState.get().getAuthenticator().getUserName();
集成了kerberos之后,在实际使用中会报
FAILED: SemanticException User:hdfs/xxxxx@KERBEROS_HADOOP isn't ADMIN, please ask for hdfs.的错误。

这两个问题的解决,借鉴了点评的patch:
即把ql/src/java/org/apache/hadoop/hive/ql/security/HadoopDefaultAuthenticator.java
中的this.userName = ugi.getUserName();改为
this.userName = ShimLoader.getHadoopShims().getShortUserName(ugi);


本文转自菜菜光 51CTO博客,原文链接:http://blog.51cto.com/caiguangguang/1381334,如需转载请自行联系原作者
上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/434623

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

yarn oom问题一例

线上部分job运行失败,报OOM的错误: 因为是maptask报错,怀疑是map数量过少,导致oom,因此调整参数,增加map数量,但是问题依然存在。看来和map的数量没有关系。 通过jobid查找jobhistory中对应的日志信息,定位到出错的task id和对应的host.通过日志查看出问题的containerid. 由于container是由RM进行分配的,查看RM的日志,可以看到container的分配情况: 比如下面的例子: 1 2014-05-06 16:00:00,632 INFO org.apache.hadoop.yarn.server.resourcemanager.scheduler.fair.FSSchedulerNode: Assigned container container_1399267192386_43455_01_000037 of capacity &lt;memory:1536, vCores:1&gt; on host xxxx:44614, which currently has 4 containers, &lt;memory:6144...
2017-11-20
632
上一篇

hive元数据表结构

在debug hive的问题的时候,经常需要分析hive元数据的表结构。 这里简单地说下常用的几个表的结构: dbs 存储了database的一些信息,id,描述,hdfs中的路径和名称。 tbls 存储了table的一些信息,id,表名等。。其中常用的两个字段是SD_ID和TBL_TYPE,SD_ID后面再说。TBL_TYPE字段 定义了表是外部表(EXTERNAL_TABLE)还是托管表(MANAGED_TABLE) hive目前的版本是支持view的,view的定义是在tbls表中,TBL_TYPE字段是VIRTUAL_VIEW。 1 2 3 4 5 6 7 8 select distinct TBL_TYPE from tbls; + ----------------+ | TBL_TYPE | + ----------------+ | MANAGED_TABLE | | EXTERNAL_TABLE | | VIRTUAL_VIEW | + ----------------+ tbls中有另外的两个字段标识了view的sql: VIEW_EXPANDED_TEXT,VIEW...
2017-11-20
639
下一篇

相关文章

发表评论

资源下载

更多资源
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2026-04-11 大小: 1MB 下载: 9次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2026-04-24 大小: 189MB 下载: 6次
Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次
WebStorm

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源,继承了IntelliJ IDEA强大的JS部分的功能。

时间: 2025-12-13 大小: 249.54MB 下载: 22次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
DeepSeek Jdk25 OpenAi HarmonyOS6 Nacos3 SpringBoot4 SpringCloud Docker Kubernetes Service Mesh Redis Gemini3 Rocky

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册