如何在CDH 6.3.2 啓用Kerberos 中 使用sentry限制 用戶讀寫

如何在CDH 6.3.2 啓用Kerberos 中 使用sentry 限制用戶讀寫

標籤（空格分隔）： 大數據平臺構建

---

• 一： 系統環境介紹
• 二： CDH6.3.2 啓用安裝sentry
• 三： sentry 使用
• 四：啓用sentry測試

---

一： 系統環境介紹

操做系統
    CentOS7.5x64

cdh/cm 版本
   cm:6.3.1
   cdh:6.3.2 

採用root用戶操做

前置條件:
1.CDH集羣運行正常

2.集羣已啓用Kerberos且正常使用

##二：CDH6.3.2 啓用安裝sentry

1.在MySQL中建立sentry數據庫

# mysql -uroot -pflyfish225
mysql> create database sentry character set latin1;     (這個地方必須是latin1 字符集)
mysql> grant all privileges on sentry.* to 'sentry'@'%' identified by 'sentry_1234' with grant option;
mysql> flush privileges;

---

三： sentry 使用

3.1 在 hive 中使用sentry

1.配置Hive使用Sentry服務

2.關閉Hive的用戶模擬功能

3.2 在impala 中啓用sentry

配置Impala使用Sentry

3.3 在hue中啓用sentry

3.4 在hdfs中啓用sentry

完成以上配置後，回到Cloudera Manager主頁，部署客戶端配置並重啓相關服務。

四：sentry 的測試

4.1建立hive超級用戶

使用hive用戶登陸Kerberos，操做以下

1.使用beeline鏈接HiveServer2

beeline 
!connect jdbc:hive2://localhost:10000/;principal=hive/dev01.lanxintec.cn@LANXIN.COM
create role admin;

grant all on server server1 to role admin;
 grant role admin to group hive;

建立普通帳號與開發者帳號
注意：集羣全部節點必須存在用戶與用戶組，賦權是針對用戶組而不是針對用戶。

Linux添加兩個用戶(全部節點都要執行)
 useradd read
 useradd developer

beeline登陸建立帳號
 create role read;
 create role developer;

 grant select on server server1 to role read;
 grant select on server server1 to role developer;
 grant insert on server server1 to role developer;
 grant create on server server1 to role developer;

 grant role read to group read;
 grant role developer to group developer;

---

建立test表

使用hive用戶登陸Kerberos，經過beeline登陸HiveServer2，建立test表，並插入測試數據

create table test (s1 string, s2 string) row format delimited fields terminated by ',';

insert into test values('a','b'),('1','2');

使用read 帳號登陸hue 查看 能夠 建立 表 報錯

---

使用developer 登陸

既能夠 查詢 也能夠 建立表