本文主要探讨Ranger对Hdfs文件权限控制的一些细节问题
笔者环境:Ambari + Hdp2.5 (安装了Ranger, Kerberos)
1、首先是Hdfs 源文件中文件对外开放的权限
如下:新建文本文档.txt 对应的权限如下
-rwxrwx---
对应的权限说明
权限说明:对资源所拥有者以及分组内的用户开放读写执行权限,其他用户没有任何权限
用户project2 权限信息
1、project2没有加入任何Group
2、在 Ranger 中没有配置其对Hdfs有任何操作权限
----------
linux中操作执行
1、以project2登录进服务器
[root@hdp39 ~]# kinit -kt /opt/keystore/project2.keytab project2/hdp39
[root@hdp39 ~]# hdfs dfs -cat /测绘数据/澳大利亚-玛丽伯勒/新建文本文档.txt
对文件进行读取时发现该用户对该文件没有对应的操作权限
[root@hdp39 ~]# hdfs dfs -cat /测绘数据/澳大利亚-玛丽伯勒/新建文本文档.txt
17/12/01 09:44:33 WARN retry.RetryInvocationHandler: Exception while invoking ClientNamenodeProtocolTranslatorPB.getBlockLocations over null. Not retrying because try once and fail.
org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException): Permission denied: user=project2, access=READ, inode="/测绘数据/澳大利亚-玛丽伯勒/新建文本文档.txt":admin:hdfs:-rwxrwx---
----------
2、当对源文件权限进行修改成如下
也就是说对其他用户开放读权限,这时就算project2没有对应的操作权限则一样是可以进行读取的。
如下执行读取的命令:
[root@hdp39 ~]# hdfs dfs -cat /测绘数据/澳大利亚-玛丽伯勒/新建文本文档.txt
玛丽伯勒(澳大利亚)
成像于北京时间2017年8月29日
太阳高度角:34.396
侧摆角:2.627
经纬度:1xx.6952,-xx.xx67
xxxS-1x卫星拍摄
----------
3、将hdfs源文件还原成上述第一种情况,通过Ranger修改project2对该文件有读的权限,如下图所示:
再次执行读取过程发现,该用户可以读取文件了。结果如下所示:
[root@hdp39 ~]# hdfs dfs -cat /测绘数据/澳大利亚-玛丽伯勒/新建文本文档.txt
玛丽伯勒(澳大利亚)
成像于北京时间2017年8月29日
太阳高度角:34.396
侧摆角:2.627
经纬度:1xx.6952,-xx.xx67
xxxS-1x卫星拍摄
-------------
通过上述分析发现:
当hdfs文件对外是公开的则该其他用户就算没有配置相关的权限一样可以进行相关的操作。
当hdfs文件对外权限是没有开放的,其他用户若需要进行相关操作则需要通过Ranger进行相关权限的配置。
注:笔者发现Ambari管理下的Hive 与 Hbase目录下文件权限默认是对所有用户都开启了读写权限,因此就算我们通过Ranger对Hive或Hbase中的表进行了相应的权限设置,当用户不通过Hive或Hbase方式获取数据则依然是没控制好权限。
所以笔者这里通过hdfs 命令首先将Hive与Hbase中文件权限进行设置成600,具体命令如下所示,然后再通过Ranger对文Hive与Hbase表相关权限的设置。这样非文件拥有者如果没有对应的文件操作权限则无法对该文件进行操作,当通过Ranger设定了对应权限,则可以通过Hive或Hbase的方式进行数据相关的操作。
[root@hdp39 Templates]# hdfs dfs -chmod -R 600 /apps/hive/
[root@hdp39 Templates]# hdfs dfs -chmod -R 600 /apps/hbase/