如下图,hadoop访问控制分为两级,其中ServiceLevel Authorization为系统级,用于控制是否可以访问指定的服务,例如用户/组是否可以向集群提交Job,它是最基础的访问控制,优先于文件权限和mapred队列权限验证.Access Control on Job Queues在job调度策略层之上,控制mapred队列的权限.DFSPermmision用户控制文件权限.目前版本中,连接到hadoop集群的用户/组信息取决于客户端环境,即客户端主机中`whoami`和`bash
一.权限管理linux系统中对文件权限的描述机制: u g od r w x r w x r - x (r读,w写,x执行)文件 所有者 所属组 其他人可以表示为二进制: 111 111 101也可以表示为十进制: 7 7 5 修改权限chmod u+rwx file 为file添加或取消所属用户的权限(a所有人 u代表所属用户 g代表所属组的成员用户 o代表其他用户)chmod a-rwx file 取消所有人的可读可写可执行权限chmod 567 file 用数字也可以表示权限 5 --->
Hive权限管理 1.hive授权模型介绍 (1)Storage Based Authorization in the Metastore Server 基于存储的授权 - 可以对Metastore中的元数据进行保护,但是没有提供更加细粒度的访问控制(例如:列级别.行级别). (2)SQL Standards Based Authorization in HiveServer2 基于SQL标准的Hive授权 - 完全兼容SQL的授权模型,推荐使用该模式. (3)Default Hive Auth