Hadoop-2.2.0中文文档—— Common - 服务层认证
目的
此文档描写叙述了怎样为Hadoop配置和管理 Service Level Authorization 。
预备条件
确保已经安装Hadoop,配置和设置都正确了。
很多其它细节,请看:* 首次使用者的单节点设置 * 大的、分布式集群的集群设置。
概览
Service Level Authorization 是一个必要的初始认证机制。其确保client连接到一个有必要的、预配置的、权限和认证服务的特定的Hadoop服务。比如,一个 MapReduce 集群能够使用这个机制同意一个配置了的用户/组列表提交作业。
$HADOOP_CONF_DIR/hadoop-policy.xml配置文件被用来定义多种Hadoop服务的訪问控制列表。
Service Level Authorization 比别的訪问控制检查如文件权限检查、作业队列上的訪问控制等做地更早。
配置
这部分描写叙述了怎样配置服务层认证,通过配置文件 $HADOOP_CONF_DIR/hadoop-policy.xml。
同意服务层认证
默认地,服务层认证对Hadoop是不能用的。
要启用它。在配置文件$HADOOP_CONF_DIR/core-site.xml中合理地设置属性 hadoop.security.authorization 为 true。
Hadoop 服务和配置属性
这部分描写叙述了多种Hadoop服务和他们的配置部分:
属性 | 服务 |
---|---|
security.client.protocol.acl | ACL for ClientProtocol, 用户代码通过分布式文件系统来使用 |
security.client.datanode.protocol.acl | ACL for ClientDatanodeProtocol, the client-to-datanode protocol for block recovery. |
security.datanode.protocol.acl | ACL for DatanodeProtocol, 用于datanodes 与 namenode 通信 |
security.inter.datanode.protocol.acl | ACL for InterDatanodeProtocol, inter-datanode 协议。用于更新生成的时间戳 |
security.namenode.protocol.acl | ACL for NamenodeProtocol, 用于secondary namenode 与 namenode 通信的协议 |
security.inter.tracker.protocol.acl | ACL for InterTrackerProtocol, 用于 tasktrackers 与 jobtracker 通信的协议 |
security.job.submission.protocol.acl | ACL for JobSubmissionProtocol, 用于 job client与 jobtracker 通信,以提交作业,查询作业状态 |
security.task.umbilical.protocol.acl | ACL for TaskUmbilicalProtocol,用于map 和 reduce 任务与父级 tasktracker通信 |
security.refresh.policy.protocol.acl | ACL for RefreshAuthorizationPolicyProtocol, 用于 dfsadmin 和 mradmin 命令以实时刷新安全策略 |
security.ha.service.protocol.acl | ACL for HAService protocol ,用于 HAAdmin 管理namenode的活着的和等待的状态 |
訪问控制列表
$HADOOP_CONF_DIR/hadoop-policy.xml
为每个Hadoop服务定义一个訪问控制列表。
每个訪问控制列表有一个简单的格式:
列表中的用户和组名字都以逗号分隔。两列以空格分隔。
演示样例: user1,user2
group1,group2
.
假设仅仅有一列组被提供,相等地一个逗号分隔的用户列跟在空格后面或并不意味着仅仅有给定的用户,则在一行的开头加入一个空格。(?)
一个特殊的 *
说明全部的用户都有权限訪问服务。
刷新 Service Level Authorization 配置
NameNode 和JobTracker的服务层认证配置能够在不重新启动不论什么一个Hadoop管理守护进程的情况下被改动。集群管理者能够在管理节点上和命令NameNode
和 JobTracker通过-refreshServiceAcl切换到dfsadmin和mradmin命令又一次加载他们的相关配置来改变$HADOOP_CONF_DIR/hadoop-policy.xml
。
刷新 NameNode上的服务层认证配置:
$ bin/hadoop dfsadmin -refreshServiceAcl
刷新 JobTracker上的服务层认证配置:
$ bin/hadoop mradmin -refreshServiceAcl
当然,也能够在 $HADOOP_CONF_DIR/hadoop-policy.xml
中用 security.refresh.policy.protocol.acl
属性限制对特定用户/组刷新服务层认证配置的訪问能力 。
演示样例
仅仅同意 alice
, bob
和在 mapreduce
组中的用户提交作业到
MapReduce 集群:
<property>
<name>security.job.submission.protocol.acl</name>
<value>alice,bob mapreduce</value>
</property>
仅仅同意 DataNodes 执行,当属于datanodes组的用户与NameNode通信:
<property>
<name>security.datanode.protocol.acl</name>
<value>datanodes</value>
</property>
同意不论什么用户作为 DFSClient与 HDFS 集群通话 :
<property>
<name>security.client.protocol.acl</name>
<value>*</value>
</property>
相关文章
- Navicat Premium 15 Mac中文激活版(数据库开发工具)
- Postman 汉化包(设置中文)
- Android Q 对非 SDK 接口限制的更新 | Android 中文教学视频
- spring官方文档 中文_Spring软件
- Clipper库中文文档(ClipperLib)
- SpringCloud中的Config组件是什么??,以及中文文档地址
- chatgpt 图像生成试用版接口文档(中文文档)
- Infuse for Mac(音视频播放器) 7.5.1中文免激活版
- 【Android 逆向】x86 汇编 ( 参考资料 | Intel 官方的文档 | x86 汇编中文文档 | 汇编指令查询器 )
- 全网首篇? Unreal Iris Replication中文资料
- AutoCAD 2024 通用版中文(支持Intel,M芯片,13新系统)
- 《Drools6.4 中文文档》Workbench(通用)详解编程语言
- Python Scrapy中文教程,Scrapy框架快速入门!
- Redis官方中文文档(redis中文文档)
- 版MySQL官方文档:中文版深度指南(mysql官方文档中文)
- 异常解决Linux中文乱码异常的方法(linux环境中文乱码)
- MySQL 解决中文字符乱码问题(mysql 中文字符乱码)
- 中文Oracle极致发挥MAX(max中文 oracle)
- MySQL中文存储问题解析不支持的存储方式(mysql不存汉字)
- 在Oracle中掌握中文拼写的秘诀(oracle 中文 全拼)
- jQueryEasyUIAPI中文文档-ProgressBar进度条
- jQueryEasyUIAPI中文文档-Form表单
- PHP-redis中文文档介绍
- jsp超链接中文乱码的解决方法
- nodejsnpmpackage.json中文文档