HBase分析之用户机制

HBase分析之用户机制_第1张图片

HBase的用户机制和Hadoop的用户机制是一样的。但对刚接触的人来说,相当的隐蔽,启动HBase不用设置用户名、密码,连接HBase也不需要设置用户名、密码。但HBase(实质上是Hadoop)提供了默认的用户来执行操作。

  1. 超级用户
    如果没有特意配置,那么HBase会选择启动HBase的系统用户作为超级用户。如果需要改变超级用户,可通过修改hbase-site.xml来配置,加入hbase.superuser。

  hbase.superuser
  admin

  1. 默认用户
    默认用户也类似,在没有特意配置时,HBase会选择当前的系统用户作为HBase的用户,改变默认用户隐藏的比较深,我们从代码来看。

分析源码

在创建Connection时,会判断是否已经创建了用户,如果没有,会调用LoginContext的login()方法来创建。中间的调用就直接跳过了,想详细看的可以参照以下堆栈信息。

HBase分析之用户机制_第2张图片

在login方法中,按顺序反射调用了LOGIN_METHOD(login())和COMMIT_METHOD(commit()),中间啰嗦的代码就...跳过了,抓住重点看:

public void login() throws LoginException {
    ...
    try {
        // 分别反射调用了login和commit方法
        invokePriv(LOGIN_METHOD);
        invokePriv(COMMIT_METHOD);
        ...
    } catch (LoginException le) {
        ...
    }
}

invokePriv方法是invoke方法的带权限执行,主要看invoke方法。在invoke方法中,遍历module stack中的元素,对里面的每个元素反射执行login和commit方法。Module Stack中有两个元素,UnixLoginModuleUserGroupInformation$HadoopLoginModule。实际执行的顺序就是:

  1. UnixLoginModule#login
  2. UserGroupInformation$HadoopLoginModule#login
  3. UnixLoginModule#commit
  4. UserGroupInformation$HadoopLoginModule#commit
private void invoke(String methodName) throws LoginException {
    for (int i = moduleIndex; i < moduleStack.length; i++, moduleIndex++) {
        try {
            int mIndex = 0;
            Method[] methods = null;
            // 获取login module的methods
            if (moduleStack[i].module != null) {
                methods = moduleStack[i].module.getClass().getMethods();
            } else {
                // 如果login module还没创建,就反射创建一个,再获取login module的methods
                ...
            }

            // 遍历找到对应的方法
            for (mIndex = 0; mIndex < methods.length; mIndex++) {
                if (methods[mIndex].getName().equals(methodName)) {
                    break;
                }
            }

            // 主要就是这里,反射调用了方法名为方法参数methodName的无参方法
            Object[] args = { };
            boolean status = ((Boolean)methods[mIndex].invoke
                            (moduleStack[i].module, args)).booleanValue();

            if (status == true) {
                // 成功后的处理
                ...
            } else {
                // 失败了的处理
                ...
            }
        } catch (Exception e) {
            // 各种Exception处理
            ...
        }
    }

    // 收尾工作,处理Error,清空状态
    ...
}
  1. UnixLoginModule的login方法从系统中获取到了用户的登录信息
public boolean login() throws LoginException {
    ...
    ss = new UnixSystem();
    if (ss == null) {
        ...
    } else {
        userPrincipal = new UnixPrincipal(ss.getUsername());
        ...
        return true;
    }
}
  1. UserGroupInformation$HadoopLoginModule的login是空方法,只return了true
public boolean login() throws LoginException {
    if(UserGroupInformation.LOG.isDebugEnabled()) {
        UserGroupInformation.LOG.debug("hadoop login");
    }

    return true;
}
  1. UnixLoginModule的commit方法把获取到的登录信息写到了subject里
public boolean commit() throws LoginException {
    if (succeeded == false) {
        ...
        return false;
    } else {
        if (subject.isReadOnly()) {
            throw new LoginException
                ("commit Failed: Subject is Readonly");
        }
        // 把用户名塞进subject
        if (!subject.getPrincipals().contains(userPrincipal))
            subject.getPrincipals().add(userPrincipal);
        // 把其他参数塞进subject
        ...
        commitSucceeded = true;
        return true;
    }
}

写完之后subject里是这样的,多了用户和组的信息。

HBase分析之用户机制_第3张图片
  1. UserGroupInformation$HadoopLoginModule的commit方法,分3种情况来获取用户。有KERBEROS,取KERBEROS的用户信息;有HADOOP_USER_NAME,取HADOOP_USER_NAME的用户信息;都没有,就取Unix/Linux系统的用户信息,就是第3步commit到subject中的用户信息。
public boolean commit() throws LoginException {
    if(!this.subject.getPrincipals(User.class).isEmpty()) {
        return true;
    } else {
        Principal user = null;

        // 如果启用了KERBEROS
        if(UserGroupInformation.isAuthenticationMethodEnabled(
              UserGroupInformation.AuthenticationMethod.KERBEROS)) {
            user = this.getCanonicalUser(KerberosPrincipal.class);
        }


        if(!UserGroupInformation.isSecurityEnabled() && user == null) {
            // 从系统环境变量里找HADOOP_USER_NAME
            String envUser = System.getenv("HADOOP_USER_NAME");
            if(envUser == null) {
                // 从Java变量里找HADOOP_USER_NAME
                envUser = System.getProperty("HADOOP_USER_NAME");
            }

            user = envUser == null?null:new User(envUser);
        }

        // 实在找不到了,就用系统的用户信息
        if(user == null) {
            user = this.getCanonicalUser(UserGroupInformation.OS_PRINCIPAL_CLASS);
            ...
        }

        // 把User实例塞进subject
        if(user != null) {
            this.subject.getPrincipals().add(new User(((Principal)user).getName()));
            return true;
        } else {
            ...
        }
    }
}

Commit执行完以后,User实例就创建完成了,可以看到User实例中只有name。

HBase分析之用户机制_第4张图片

修改用户

知道了HBase是如何获取用户信息的,就可以相应的改变用户了。
根据UserGroupInformation$HadoopLoginModule的commit中获取用户的3种方法,就可分3种情况修改用户:

  • KERBEROS
    改变KERBEROS用户(运维比较复杂,不在考虑范围)。

  • 系统用户
    通过切换操作系统的用户来完成。

  • HADOOP_USER_NAME
    通过设置System环境变量改变用户,需要重启进程才会生效。

    export HADOOP_USER_NAME=admin
    

    通过设置System Properties改变用户,需要在Connection创建之前设置,这里的System指的是JavaVM。

    System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
    

举例来说,masa用户是没有权限的,admin用户是有权限的。使用默认用户masa访问集群,执行这段代码时,抛出了Exception,原因是没有权限。

Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);
Exception in thread "main" org.apache.hadoop.hbase.security.AccessDeniedException: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions for user ‘masa',action: scannerOpen, tableName:liehutest, family:f.
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:525)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:919)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:854)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1284)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$RegionOperation.call(RegionCoprocessorHost.java:1673)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperation(RegionCoprocessorHost.java:1748)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperationWithResult(RegionCoprocessorHost.java:1722)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.preScannerOpen(RegionCoprocessorHost.java:1279)
at org.apache.hadoop.hbase.regionserver.RSRpcServices.scan(RSRpcServices.java:2252)
at org.apache.hadoop.hbase.protobuf.generated.ClientProtos$ClientService$2.callBlockingMethod(ClientProtos.java:32205)
at org.apache.hadoop.hbase.ipc.RpcServer.call(RpcServer.java:2114)
at org.apache.hadoop.hbase.ipc.CallRunner.run(CallRunner.java:101)
at org.apache.hadoop.hbase.ipc.RpcExecutor.consumerLoop(RpcExecutor.java:130)
at org.apache.hadoop.hbase.ipc.RpcExecutor$1.run(RpcExecutor.java:107)
at java.lang.Thread.run(Thread.java:745)

在任务执行之前设置用户名,就可以执行成功了。

System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);
get scanner org.apache.hadoop.hbase.client.ClientScanner@dd8ba08
Process finished with exit code 0

-END-

你可能感兴趣的:(HBase分析之用户机制)