hive 整合ranger

一、安装hive插件

1、解压安装

#  tar zxvf ranger-2.0.0-SNAPSHOT-hive-plugin.tar.gz -C /data1/hadoop/

2、修改install.properties

POLICY_MGR_URL=http://192.168.4.50:6080

REPOSITORY_NAME=hivedev

COMPONENT_INSTALL_DIR_NAME=/data1/hadoop/hive   #hive安装目录

XAAUDIT.SOLR.ENABLE=true

XAAUDIT.SOLR.URL=http://192.168.4.50:6083/solr/ranger_audits

CUSTOM_USER=hduser   

CUSTOM_GROUP=hduser

 

3、启动hive插件

# sudo ./enable-hive-plugin.sh

启动hive插件以后,默认生成hiveserver2-site.xml文件,或者在已经存在的该文件下添加如下信息:

<property>

        <name>hive.security.authorization.enabled</name>

        <value>true</value>

    </property>

    <property>

        <name>hive.security.authorization.manager</name>

        <value>org.apache.ranger.authorization.hive.authorizer.RangerHiveAuthorizerFactory</value>

    </property>

    <property>

        <name>hive.security.authenticator.manager</name>

        <value>org.apache.hadoop.hive.ql.security.SessionStateUserAuthenticator</value>

    </property>

    <property>

        <name>hive.conf.restricted.list</name>

        <value>hive.security.authorization.enabled,hive.security.authorization.manager,hive.security.authenticator.manager</value>

</property>

 

4、前台界面配置policy

 

 

 

点击加号添加服务

 

 

 

如果测试连接ok,说明配置成功。

注:我在配置的时候,这里测试连接失败,集群的hiveserver2服务启动,端口也正常监听,在集群内部使用beeline方式连接到集群进行操作时,提示如下错误:

Caused by: java.lang.NoSuchFieldError: REPLLOAD

最后发现是由于hive的版本与ranger hive里面的包版本不一致导致,我使用的hive版本是hive2.x,而ranger2.x对于的hive版本是3.x,所以,在使用的时候要注意版本的问题。

5、配置策略

当创建好服务以后,ranger默认就创建了一些policy,如下:

 

 

 

如果想要添加策略,可以添加右上角的add

6、测试

注意:ranger权限对应hive客户端是没有任何作用的,如果想要对hive客户端做权限认证,则可以使用hive基于sql的安全认证,ranger只是对hiveserver2方式进行权限控制。

(1) 首先使用beeline -u jdbc:hive2://localhost:10000 -n hduser 连接到hive

  • 创建数据库(shanghai),该条语句可以正常执行。
  • shanghai库里面创建表(test),则会创建失败,如下:

0: jdbc:hive2://192.168.0.230:10000> create table test(a string);

Error: Error while compiling statement: FAILED: HiveAccessControlException Permission denied: user [hduser] does not have [CREATE] privilege on [shanghai/test] (state=42000,code=40000)

提示没有权限

(2) 添加策略,在上图policy ID10的这条策略里面修改如下:

 

 

 

上述的hduser的新添加的。添加完保存,格一小会,在再beeline模式下执行创建表的测试,看是否成功,当然,这里给了该用户所有的权限,所以,该用户还可以进行insert等操作。

 

 

 

(3) 测试其他用户,比如当前的操作系统上面有一个yjt用户,我想该用户对test表有查询权限,先在beeline模式下测试改用户是否有select权限,如下:

[hduser@yjt ~]$ beeline -u jdbc:hive2://192.168.0.230:10000 -n yjt   #指定登录用户为yjt

0: jdbc:hive2://192.168.0.230:10000> select * from shanghai.test;

Error: Error while compiling statement: FAILED: HiveAccessControlException Permission denied: user [yjt] does not have [SELECT] privilege on [shanghai/test/*] (state=42000,code=40000)

可以发现,yjt这个用户对于shanghai数据库下的test这个表是没有select权限的,添加权限:

还是在上述的策略10里面添加,如下:

 

 

 

上述保存以后,如下:

 

 

 

策略添加完以后,需要等待策略的下发,权限控制才生效。

注意:策略修改完以后,不用重新启动beeline

 

 

 

说明策略配置成功,那么上述配置了yjt这个用户的select权限,是否该用户真的只有select权限呢?继续测试改用户是否真的只有select权限,所以这里使用该用户insert 一条数据到test表,如下:

 

 

 

额,这还没到权限认证就开始报错了,上述的错误可以看到该用户对应hdfs的目录或者文件没有写权限,从这里也可以看到,还可以使用hdfs的权限认证限制hive用户。修改上述目录或者文件的权限为777(主要为了测试用户是否被hive ranger控制,所以这里设置为777,以排除其他干扰。)

[hduser@yjt conf]$ hadoop fs -setfacl -m user:yjt:rwx hdfs://yjt:9000/hive/warehouse/shanghai.db/test/

 

上述添加一条ACL。允许yjt所有操作

0: jdbc:hive2://192.168.0.230:10000> insert into table test values("test insert");

Error: Error while compiling statement: FAILED: HiveAccessControlException Permission denied: user [yjt] does not have [UPDATE] privilege on [shanghai/test] (state=42000,code=40000)

这里发现用户没有UPDATE权限,说明配置成功(ranger里面,其实没有insert权限,只有update权限),接下来,在policy里面添加update权限,看是否可以成功的insert数据。

 

 

 

 

 

 

借鉴:

https://www.jianshu.com/p/d9941b8687b7

 

posted @ 2019-11-11 19:12  北漂-boy  阅读(6447)  评论(0编辑  收藏  举报