首页 文章 精选 留言 我的

hive集成kerberos问题1

2017-11-20 646
 在hdfs+mapred+impala+kerberos运行正常后,开始测试hive+kerberos。hive0.11之后开始支持kerberos的验证,hive主要有两种访问方式,一种方法是shell运行,即直接运行hive命令,另一种方法时启动hiveserver,然后通过jdbc或odbc进行验证,其中第二种方法可以通过hive0.11的beeline进行测试。
在使用hive shell运行时,主要遇到下面几个问题:
1.权限验证问题。
在hive操作hdfs数据的时候,权限是分为两层的,一个是hive层面的权限控制,主要是控制表的权限,一个是hdfs文件的权限控制,控制用户的读写操作。
表的相关权限主要是写在hive的元数据库中,主要是TBL_PRIVS表(控制表的权限)和DB_PRIVS 表(控制库的权限)。
在开启kerberos之后,传入hive的用户名是principal的全名,比如hdfs/gxxxx@KERBEROS_HADOOP,而hive权限表中的PRINCIPAL_NAME 字段是hdfs,会导致没有表的权限,虽然可以通过update表来更改相应的PRINCIPAL_NAME 的值,但是实际使用中缺乏可运维性。在hdfs层面,有一个user mapping的功能(由hadoop.security.auth_to_local参数控制),默认会把principal的全名进行map,转换为unix的用户名形式。

2.hook的问题。
由于hive有grant的bug,因此线上使用了hook来做用户验证,即执行grant语法是会判断当前用户是否是hdfs用户,如果不是则报错,主要的代码如下(老毕提供):
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
import  java.util.HashSet;
import  org.apache.hadoop.hive.ql.parse.ASTNode;
import  org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import  org.apache.hadoop.hive.ql.parse.HiveParser;
import  org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import  org.apache.hadoop.hive.ql.parse.SemanticException;
import  org.apache.hadoop.hive.ql.session.SessionState;
import  org.apache.commons.logging.Log;
import  org.apache.commons.logging.LogFactory;
public  class  AuthHook  extends  AbstractSemanticAnalyzerHook {
      static  final  private  Log LOG = LogFactory.getLog(AuthHook. class .getName());
      private  static  HashSet<String> adminlist =  new  HashSet<String>() {
           {add( "hdfs" );}
      };
      private  static  String adminstr =  "hdfs" ;
      @Override
      public  ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
                ASTNode ast)  throws  SemanticException {
           switch  (ast.getToken().getType()) {
           case  HiveParser.TOK_CREATEDATABASE:
           case  HiveParser.TOK_DROPDATABASE:
           case  HiveParser.TOK_CREATEROLE:
           case  HiveParser.TOK_DROPROLE:
           case  HiveParser.TOK_GRANT:
           case  HiveParser.TOK_REVOKE:
           case  HiveParser.TOK_GRANT_ROLE:
           case  HiveParser.TOK_REVOKE_ROLE:
                String userName =  null ;
                if  (SessionState.get() !=  null  && SessionState.get().getAuthenticator() !=  null ) {
                     userName = SessionState.get().getAuthenticator().getUserName();
                }
                LOG.debug( "authhook username = " +userName);
                if  (!adminlist.contains(userName.toLowerCase())) {
                     throw  new  SemanticException( "User:" +userName
                               " isn't ADMIN, please ask for "  + adminstr +  "." );
                }
                break ;
           default :
                LOG.debug( "AST type = " +ast.getToken().getType());
                break ;
           }
           return  ast;
      }
}

其中获取当前传入的用户名是通过 SessionState.get().getAuthenticator().getUserName();
集成了kerberos之后,在实际使用中会报
FAILED: SemanticException User:hdfs/xxxxx@KERBEROS_HADOOP isn't ADMIN, please ask for hdfs.的错误。

这两个问题的解决,借鉴了点评的patch:
即把ql/src/java/org/apache/hadoop/hive/ql/security/HadoopDefaultAuthenticator.java
中的this.userName = ugi.getUserName();改为
this.userName = ShimLoader.getHadoopShims().getShortUserName(ugi);


本文转自菜菜光 51CTO博客,原文链接:http://blog.51cto.com/caiguangguang/1381334,如需转载请自行联系原作者
上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/434623

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

yarn oom问题一例

线上部分job运行失败,报OOM的错误: 因为是maptask报错,怀疑是map数量过少,导致oom,因此调整参数,增加map数量,但是问题依然存在。看来和map的数量没有关系。 通过jobid查找jobhistory中对应的日志信息,定位到出错的task id和对应的host.通过日志查看出问题的containerid. 由于container是由RM进行分配的,查看RM的日志,可以看到container的分配情况: 比如下面的例子: 1 2014-05-06 16:00:00,632 INFO org.apache.hadoop.yarn.server.resourcemanager.scheduler.fair.FSSchedulerNode: Assigned container container_1399267192386_43455_01_000037 of capacity <memory:1536, vCores:1> on host xxxx:44614, which currently has 4 containers, <memory:6144...
2017-11-21
578
上一篇

hive元数据表结构

在debug hive的问题的时候,经常需要分析hive元数据的表结构。 这里简单地说下常用的几个表的结构: dbs 存储了database的一些信息,id,描述,hdfs中的路径和名称。 tbls 存储了table的一些信息,id,表名等。。其中常用的两个字段是SD_ID和TBL_TYPE,SD_ID后面再说。TBL_TYPE字段 定义了表是外部表(EXTERNAL_TABLE)还是托管表(MANAGED_TABLE) hive目前的版本是支持view的,view的定义是在tbls表中,TBL_TYPE字段是VIRTUAL_VIEW。 1 2 3 4 5 6 7 8 select distinct TBL_TYPE from tbls; + ----------------+ | TBL_TYPE | + ----------------+ | MANAGED_TABLE | | EXTERNAL_TABLE | | VIRTUAL_VIEW | + ----------------+ tbls中有另外的两个字段标识了view的sql: VIEW_EXPANDED_TEXT,VIEW...
2017-11-21
591
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2025-12-28 大小: 1MB 下载: 4次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2026-01-03 大小: 1.42GB 下载: 2次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
Docker OpenAi Rocky Nacos3 DeepSeek SpringCloud Service Mesh Redis Kubernetes HarmonyOS6 Jdk25 SpringBoot4 Gemini3

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册