HBase鉴权设计以及Kerberos鉴权方法

文章目录

  • [1. HBase鉴权方式整理](#1. HBase鉴权方式整理)
  • [2. Kerboers鉴权架构整理](#2. Kerboers鉴权架构整理)
    • [2.1 kerberos的实现架构](#2.1 kerberos的实现架构)
    • [2.2 相关核心参数整理](#2.2 相关核心参数整理)
  • [3. 客户端的鉴权设计](#3. 客户端的鉴权设计)
    • [3.1 安全管控权限](#3.1 安全管控权限)
    • [3.2 安全管控级别](#3.2 安全管控级别)
    • [3.3 相关操作](#3.3 相关操作)
      • [3.3.1 用户授权](#3.3.1 用户授权)
      • [3.3.2 回收权限](#3.3.2 回收权限)
  • [4. 疑问和思考](#4. 疑问和思考)
  • [6. 参考文章](#6. 参考文章)

鉴权,分别由组成

  • : 表示身份认证,认证相关用户是否存在以及相关的用户名和密码是否一致
  • : 完成身份的后,还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说,通常情况下,需要完成 才能够满足一个完整的业务场景,因此通常将鉴权放在一起考量。本文探讨hbase的鉴权常用的鉴权方式以及kerberos鉴权方式的相关方法。

1. HBase鉴权方式整理

HBase的权限管理包括两个部分,分别是Authentication 和 Authorization。

Authentication:针对某host是否有权成为集群的regionserver或者client端,典型的实现是:kerberos

Authorization: 是针对client端对集群数据的读写等权限,能够控制到库、表、列鏃等级别的鉴权控制。

2. Kerboers鉴权架构整理

2.1 kerberos的实现架构

参考 HDFS鉴权设计以及Kerberos鉴权方法 中的kerbero鉴权部分

2.2 相关核心参数整理

hbase-site.xml配置

xml 复制代码
<?xml version="1.0" encoding="UTF-8"?>
<?xml-stylesheet type="text/xsl" href="configuration.xsl"?>
<!--
 Licensed ...
-->

<configuration>
    <!-- 默认情况下是simple,表示不使用认证 -->
    <property>
        <name>hbase.security.authentication</name>
        <value>kerberos</value>
    </property>

    <!-- 开启Kerberos的安全授权,通常接入Kerberos以后授权必须一起打开 -->
    <property>
        <name>hbase.security.authorization</name>
        <value>true</value>
    </property>

    <!-- Master、regionserver、thrift使用的principal账号 -->
    <property>
        <name>hbase.master.kerberos.principal</name>
        <value>hbase/_HOST@IDATA.RUIJIE.COM</value>
    </property>
    <property>
        <name>hbase.regionserver.kerberos.principal</name>
        <value>hbase/_HOST@IDATA.RUIJIE.COM</value>
    </property>
    <property>
        <name>hbase.thrift.kerberos.principal</name>
        <value>hbase/_HOST@IDATA.RUIJIE.COM</value>
    </property>
    <!-- Master、regionserver、thrift不同组件使用的keytable文件 -->
    <property>
        <name>hbase.master.keytab.file</name>
        <value>hbase.keytab</value>
    </property>
    <property>
        <name>hbase.regionserver.keytab.file</name>
        <value>hbase.keytab</value>
    </property>
    <property>
        <name>hbase.thrift.keytab.file</name>
        <value>/etc/hbase/conf/hbase.keytab</value>
    </property>


    <!-- 配置相关的coprocessor -->
    <property>
        <name>hbase.coprocessor.master.classes</name>
        <value>
            org.apache.hadoop.hbase.security.access.AccessControllerorg.apache.hadoop.hbase.security.visibility.VisibilityController
        </value>
    </property>

    <property>
        <name>hbase.coprocessor.region.classes</name>
        <value>
            org.apache.hadoop.hbase.security.access.AccessController,org.apache.hadoop.hbase.security.visibility.VisibilityController,org.apache.hadoop.hbase.security.token.TokenProvider,org.apache.hadoop.hbase.security.access.SecureBulkLoadEndpoint
        </value>
    </property>
</configuration>

3. 客户端的鉴权设计

参考mysql的库表鉴权设计模式,能够创建用户、组和鉴权控制表、字段的读写权限。

3.1 安全管控权限

HBase提供五个权限标识符:(RWXCA)

bash 复制代码
R - represents read privilege.
W - represents write privilege.
X - represents execute privilege.
C - represents create privilege.
A - represents admin privilege.

3.2 安全管控级别

相关的管控权限的作用范围,涉及如下级别:

  • Superuser:拥有所有权限的超级管理员用户,通过hbase.superuser参数配置;
  • Global:全局权限可以作用在集群所有的表上;
  • Namespace :命名空间级;
  • Table:表级;
  • ColumnFamily:列簇级权限;
  • Cell:单元级;

3.3 相关操作

和关系数据库(如mysql)一样,Hbase权限的授予和回收都使用grant和revoke,但格式有所不同。

3.3.1 用户授权

bash 复制代码
# 给用户授权emp表的操作权限
hbase(main):012:0> grant 'Administrator','RWCA','emp'
0 row(s) in 0.1740 seconds

# 查看用户的权限
hbase(main):014:0> user_permission 'emp'
User                                     Namespace,Table,Family,Qualifier:Permission                                                                         
 Administrator                           default,emp,,: [Permission: actions=READ,WRITE,CREATE,ADMIN]                                                        
 root                                    default,emp,,: [Permission: actions=READ,WRITE,EXEC,CREATE,ADMIN]                                                   
2 row(s) in 0.0640 seconds

3.3.2 回收权限

相关语法

bash 复制代码
revoke <user> [<table> [<column family> [<column; qualifier>]]

操作示例

bash 复制代码
hbase(main):014:0> revoke 'Administrator','emp'
0 row(s) in 0.1860 seconds

4. 疑问和思考

暂无

6. 参考文章

暂无

相关推荐
六月闻君3 分钟前
MySQL 报错:1137 - Can‘t reopen table
数据库·mysql
DolphinScheduler社区11 分钟前
大数据调度组件之Apache DolphinScheduler
大数据
SelectDB技术团队11 分钟前
兼顾高性能与低成本,浅析 Apache Doris 异步物化视图原理及典型场景
大数据·数据库·数据仓库·数据分析·doris
inventecsh27 分钟前
mongodb基础操作
数据库·mongodb
白云如幻31 分钟前
SQL99版链接查询语法
数据库·sql·mysql
爱吃烤鸡翅的酸菜鱼1 小时前
MySQL初学之旅(4)表的设计
数据库·sql·mysql·database
panpantt3211 小时前
【参会邀请】第二届大数据与数据挖掘国际会议(BDDM 2024)邀您相聚江城!
大数据·人工智能·数据挖掘
青云交1 小时前
大数据新视界 -- 大数据大厂之 Impala 性能优化:跨数据中心环境下的挑战与对策(上)(27 / 30)
大数据·性能优化·impala·案例分析·代码示例·跨数据中心·挑战对策
soso19682 小时前
DataWorks快速入门
大数据·数据仓库·信息可视化
The_Ticker2 小时前
CFD平台如何接入实时行情源
java·大数据·数据库·人工智能·算法·区块链·软件工程