HDFS ACL权限控制

版权声明：本文为博主原创文章，未经博主允许不得转载。https://www.jianshu.com/p/3d7028a5b335

What is ACL

ACL(Access Control Lists ，访问控制列表)，Hadoop中的acl与unix中的acl机制（posix模型）基本相同，可以为文件或目录提供更精细化的权限访问控制。

对于每个文件或目录而言，权限管理分为3个不同的用户类：owner，group和others。每个用户类有3种不同的访问权限：read，write，execute。

当一个用户试图访问一个文件系统对象时，hdfs会根据该用户所对应的权限进行验证：如果该用户是其所有者（owner），那么hdfs将检查owner类权限；如果用户不是所有者，而是group组的成员，那么hdfs将检查group组类权限；否则，hdfs会检查other其他类权限。

Hadoop确定用户身份方式

级别一：在Kerberos模式下，客户端进程身份由kerberos凭据确定。用户通过kinit工具得到（ticket-granting-ticket）TGT，且使用klist确定当前的principal。比如通过kinit -kt [email protected]，将映射该principal到HDFS的用户a。

级别二：当集群未启用kerberos时，客户端进程的身份只要在Active NameNode上通过了HDFS上相关文件与目录的权限验证即可。

级别三：当客户端进程的身份不存在于hdfs上时，由操作系统确定。

这种安全模型足以满足大量的安全需求。但当新的需求到来、业务复杂度提升时，需要将hdfs文件资源进行更细粒度的分配，简单的posix模型已无法满足。

Hdfs ACLs能够为特定用户名或组指定更细粒度的文件权限，而不仅仅是文件的所有者和组。

要使用acls，首先需要在namenode上启用acls。操作步骤：

1、CM界面中修改hdfs参数:dfs.namenode.acls.enabled 为 enable。

2、重启HDFS服务。

否则，会报错如下：

ACL实战

一、为用户添加acl权限

二、为用户组添加acl权限

三、限制用户组访问目录

Default ACL

可以为某个目录设置一个默认的ACL权限，使得以后在该目录中新建文件或者子目录时，新建的文件/目录的ACL权限都是之前设置的default ACLs。

使用default acl新建一个hdfs用户bdhbdkas，它属于bdhbdkasgrp组，拥有/user/目录下的编辑权限。

当然，如果需要添加一个hdfs的管理员用户，那么可以在hdfs——>配置中，添加用户所属组。之后需要重启hdfs服务生效。