hive的用户和用户权限
HiverServer2支持远程多客户端的并发和认证,支持经过JDBC、Beeline等链接操做。hive默认的Derby数据库,因为是内嵌的文件数据库,只支持一个用户的操做访问,支持多用户需用mysql保存元数据。如今关心的是HiveServer如何基于mysql元数据库管理用户权限,其安全控制体系与Linux及Hadoop的用户是否存在联系。java
1)remote方式部署Hivenode
Hive中metastore(元数据存储)的三种方式:内嵌Derby方式、基于mysql的Local方式、基于mysql的Remote方式。显然多用户并发模式是采用remote方式部署,Hiveserver元数据放置在mysql数据库并在mysql创建用户,HiveClient远程链接。回顾下remote方式部署Hive:mysql
第一步:元数据库mysql建立用户名和数据库;linux
第二步:HiveServer在 hive-site.xml 文件中配置jdbc URL、驱动、用户名、密码等属性;sql
<property>数据库
<name>javax.jdo.option.ConnectionURL</name>apache
<value>jdbc:mysql://mysql server IP/hive_meta?createDatabaseIfNotExist=true</value>安全
<description>JDBC connect string for aJDBC metastore</description>session
</property>并发
<property>
<name>javax.jdo.option.ConnectionDriverName</name>
<value>com.mysql.jdbc.Driver</value>
<description>Driver class name for aJDBC metastore</description>
</property>
<property>
<name>javax.jdo.option.ConnectionUserName</name>
<value>hive</value>
<description>username to use againstmetastore database</description>
</property>
<property>
<name>javax.jdo.option.ConnectionPassword</name>
<value>hive</value>
<description>password to use againstmetastore database</description>
</property>
<property>
<name>hive.metastore.warehouse.dir</name>
<!-- base hdfs path -->
<value>/user/hive/warehouse</value>
<description>base hdfs path :locationof default database for the warehouse</description>
</property>
第三步:HiveClient在hive-site.xml 文件中配置thrift(负责client和server的通讯)和存储路径;
<!--thrift://<host_name>:<port> 默认端口是9083 -->
<property>
<name>hive.metastore.uris</name>
<value>thrift://Hiveserver IP:9083</value>
<description>Thrift uri for the remotemetastore. Used by metastore client to connect to remotemetastore.</description>
</property>
<!-- hive表的默认存储路径 -->
<property>
<name>hive.metastore.warehouse.dir</name>
<value>/user/hive/warehouse</value>
<description>location of defaultdatabase for the warehouse</description>
</property>
< property >
< name >hive.metastore.local</ name >
< value >false</ value>
</ property >
第四步:HiveServer启动metastore监听
执行命令:hive--service metastore -p <port_num> //默认端口是9083
第五步:HiveClient执行hive命令。
上述5步,下图是很清晰的展示。
2)msyql元数据字典表
从remote方式部署的Hive看,还未体现出多用户管理及其权限控制,需进一步深刻研究下图四个模块的关系。
Hive早期版本是经过Linux的用户和用户组来控制用户权限,没法对Hive表的CREATE、SELECT、DROP等操做进行控制。现Hive基于元数据库来管理多用户并控制权限。数据分为元数据和数据文件两部分,元数据存储在mysql,而数据文件则是HDFS,控制元数据即控制可访问的数据文件。
Hive在mysql上的元数据表主要分为:Database相关、Table相关、数据存储相关SDS、COLUMN相关、SERDE相关(序列化)、Partition相关(分区)、SKEW相关(数据倾斜)、BUCKET相关(分桶)、PRIVS相关(权限管理),对数据库-数据表、用户有相应关系体现。其中TBL_PRIVS存储了表/视图的受权信息,见以下数据字典:
| 元数据表字段 |
说明 |
示例数据 |
| TBL_GRANT_ID |
受权ID |
1 |
| CREATE_TIME |
受权时间 |
1436320455 |
| GRANT_OPTION |
? |
0 |
| GRANTOR |
受权执行用户 |
liuxiaowen |
| GRANTOR_TYPE |
受权者类型 |
USER |
| PRINCIPAL_NAME |
被受权用户 |
username |
| PRINCIPAL_TYPE |
被受权用户类型 |
USER |
| TBL_PRIV |
权限 |
Select、Alter |
| TBL_ID |
表ID |
22,对应TBLS表中的TBL_ID |
再看mysql中存储Hive中全部数据库基本信息的表DBS数据字典:
| 元数据表字段 |
说明 |
示例数据 |
| DB_ID |
数据库ID |
2 |
| DESC |
数据库描述 |
测试库 |
| DB_LOCATION_URI |
数据库HDFS路径 |
hdfs://namenode/user/hive/warehouse/sample.db |
| NAME |
数据库名 |
lxw1234 |
| OWNER_NAME |
数据库全部者用户名 |
lxw1234 |
| OWNER_TYPE |
全部者角色 |
USER |
从mysql存储的Hive元数据表数据字典看,Hive是基于元数据mysql管理多用户权限,用户权限信息都存储在元数据表中。要重点理解是,mysql只是保存Hive的元数据,mysql自己的用户和Hive没有关系,Hive只是把本身的用户信息保存在mysql元数据表中。数据字典中关于权限元数据总结以下:
Db_privs:记录了User/Role在DB上的权限
Tbl_privs:记录了User/Role在table上的权限
Tbl_col_privs:记录了User/Role在table column上的权限
Roles:记录了全部建立的role
Role_map:记录了User与Role的对应关系
3)Hive用户权限管理
从remote部署hive和mysql元数据表字典看,已经明确hive是经过存储在元数据中的信息来管理用户权限。如今重点是Hive怎么管理用户权限。首先要回答的是用户是怎么来的,发现hive有建立角色的命令,但没有建立用户的命令,显然Hive的用户不是在mysql中建立的。在回答这个问题以前,先初步了解下Hive的权限管理机制。
第一:在hive-site.xml文件中配置参数开启权限认证
<property>
<name>hive.security.authorization.enabled</name>
<value>true</value>
<description>enableor disable the hive clientauthorization</description>
</property>
<property>
<name>hive.security.authorization.createtable.owner.grants</name>
<value>ALL</value>
<description>theprivileges automatically granted to the ownerwhenever a table gets created. Anexample like "select,drop" willgrant select and drop privilege to theowner of the table</description>
</property>
hive.security.authorization.enabled参数是开启权限验证,默认为false。
hive.security.authorization.createtable.owner.grants参数是指表的建立者对表拥有全部权限。
第二:Hive的权限管理是经过用户(User)、组(Group)、角色(Role)来定义,角色定义了权限,赋予给组或用户,用户归属于组。
角色相关命令:create role rolename、drop rolename、grant rolename to user username;
第三:Hive权限控制:
| 操做 |
解释 |
| ALL |
全部权限 |
| ALTER |
容许修改元数据(modify metadata data of object)---表信息数据 |
| UPDATE |
容许修改物理数据(modify physical data of object)---实际数据 |
| CREATE |
容许进行Create操做 |
| DROP |
容许进行DROP操做 |
| INDEX |
容许建索引(目前尚未实现) |
| LOCK |
当出现并发的使用容许用户进行LOCK和UNLOCK操做 |
| SELECT |
容许用户进行SELECT操做 |
| SHOW_DATABASE |
容许用户查看可用的数据库 |
例子:把select权限受权给username用户,命令以下:
hive>grant select on database databasename to user username;
第四:为限制任何用户均可以进行Grant/Revoke操做,提升安全控制,需事先Hive的超级管理员。在hive-site.xml中添加hive.semantic.analyzer.hook配置,并实现本身的权限控制类HiveAdmin。
<property>
<name>hive.semantic.analyzer.hook</name>
<value>com.hive.HiveAdmin</value>
</property>
com.hive.HiveAdmin类代码以下:
package com.hive;
importorg.apache.hadoop.hive.ql.parse.ASTNode;
importorg.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
importorg.apache.hadoop.hive.ql.parse.HiveParser;
importorg.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
importorg.apache.hadoop.hive.ql.parse.SemanticException;
importorg.apache.hadoop.hive.ql.session.SessionState;
publicclass HiveAdmin extendsAbstractSemanticAnalyzerHook {
privatestatic String admin = "admin";
@Override
publicASTNodepreAnalyze(HiveSemanticAnalyzerHookContextcontext,
ASTNodeast)throws SemanticException {
switch(ast.getToken().getType()) {
caseHiveParser.TOK_CREATEDATABASE:
caseHiveParser.TOK_DROPDATABASE:
caseHiveParser.TOK_CREATEROLE:
caseHiveParser.TOK_DROPROLE:
caseHiveParser.TOK_GRANT:
caseHiveParser.TOK_REVOKE:
caseHiveParser.TOK_GRANT_ROLE:
caseHiveParser.TOK_REVOKE_ROLE:
StringuserName = null;
if(SessionState.get() != null
&&SessionState.get().getAuthenticator()!= null){
userName=SessionState.get().getAuthenticator().getUserName();
}
if(!admin.equalsIgnoreCase(userName)) {
thrownewSemanticException(userName
+ " can't use ADMIN options,except " + admin +".");
}
break;
default:
break;
}
returnast;
}
}
这样只有admin用户这一超级管理员能够进行Grant/Revoke操做。
到此基本理解了Hive的用户权限管理框架,但核心问题仍是Hive的用户组和用户来自于哪里?既不是mysql中的用户,Hive自己也不提供建立用户组和用户的命令。折腾一番后,忽然理解Hive用户组和用户即Linux用户组和用户,和hadoop同样,自己不提供用户组和用户管理,只作权限控制。
到此能够梳理下Hive用户权限管理的简单流程:
第一步:建立超级管理员;
第二步:新建linux用户组和用户,也能够在既定用户组下建用户,赋予用户hive目录权限;
第三步:超级管理员进入hive,受权新建用户组和用户的操做权限;
第四步:客户端能够经过新建用户名和密码链接到hive执行受权内的动做;
4)Beeline工具
HiveServer2提供了一个新的命令行工具Beeline,它是基于SQLLine CLI的JDBC客户端。Beeline工做模式有两种,即本地嵌入模式和远程模式。嵌入模式状况下,它返回一个嵌入式的Hive(相似于Hive CLI);而远程模式则是经过Thrift协议与某个单独的HiveServer2进程进行链接通讯。
%bin/beeline
beeline>!connect
jdbc:hive2://<host>:<port>/<db>;
auth=noSaslhiveuser password org.apache.hive.jdbc.HiveDriver
命令中db就是在hiveserver中配置好的数据库并受权hiveuser使用。
5)总结
首先hive用户来自linux,和hadoop同样,并具备组、用户、角色的管理体系,其权限信息保存在元数据库中。
固然hive安全认证还有不少须要进一步了解,以进一步管理hadoop集群平台。
- 1. hive的用户和用户权限
- 2. CDH hue用户权限管理,给用户hive权限
- 3. Hive权限控制 用户和组
- 4. 用户 和 权限
- 5. Linux 的用户和权限
- 6. Linux的用户和权限
- 7. Linux权限_用户_和用户组
- 8. 用户权限
- 9. 用户的权限
- 10. mysql给用户加权限和解除用户权限
- 更多相关文章...
- • MySQL删除用户权限(REVOKE) - MySQL教程
- • MySQL用户授权(GRANT) - MySQL教程
- • 适用于PHP初学者的学习线路和建议
- • TiDB 在摩拜单车在线数据业务的应用和实践
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 外部其他进程嵌入到qt FindWindow获得窗口句柄 报错无法链接的外部符号 [email protected] 无法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的应用-TOPK问题
- 6. 实例演示ElasticSearch索引查询term,match,match_phase,query_string之间的区别
- 7. 数学基础知识 集合
- 8. amazeUI 复择框问题解决
- 9. 背包问题理解
- 10. 算数平均-几何平均不等式的证明,从麦克劳林到柯西
- 1. hive的用户和用户权限
- 2. CDH hue用户权限管理,给用户hive权限
- 3. Hive权限控制 用户和组
- 4. 用户 和 权限
- 5. Linux 的用户和权限
- 6. Linux的用户和权限
- 7. Linux权限_用户_和用户组
- 8. 用户权限
- 9. 用户的权限
- 10. mysql给用户加权限和解除用户权限