內(nèi)容securitymanual t00146x2 3密碼和Keytab文件

簡(jiǎn) TDH中的關(guān)于本手 和Keytab文 管理員安全手 管理員安全手冊(cè)簡(jiǎn) 安裝Guardian服 在第一次安裝集群時(shí)安裝 在安裝好的的集群上安裝 GuardianServer的遷 Guardian策略管 Guardian服務(wù)操作的Guardian 服務(wù)的KRB5LDAP模式選 單個(gè)服務(wù)開(kāi)啟或關(guān)閉 一鍵開(kāi)啟或關(guān)閉所有服務(wù)的 管理用 管理用戶 管理用戶角 手工部署 安裝部署前的準(zhǔn) 安裝和配 命令行管理 useradd（添加用戶 userdel（刪除用戶 groupadd（添加用戶組 groupdel（刪除用戶組 usermod（修改用戶的用戶組 passwd（修改用戶的 ktadd（為指定用戶生成keytab文件 kadmin和 用戶安全手 用戶安全手冊(cè)簡(jiǎn) 快速判斷是否使用Guardian服 安全模式的判 通過(guò)認(rèn)證使用服 編輯信 更新獲取 KerberosTicket管 獲取Ticket: 查看Ticket: 銷(xiāo)毀Ticket: 組件安全手 組件安全手冊(cè)簡(jiǎn) HDFS安 TranswarpHBase安 TranswarpHBaseS交互的認(rèn)證和TranswarpHBase中的“角色 hbase:acl Kafka安 Kafka權(quán) 客戶服 公司在編寫(xiě)該說(shuō)明書(shū)的時(shí)候已盡最大努力保證期內(nèi)容準(zhǔn)確可靠,但星環(huán)信息科技( 不對(duì)本說(shuō)明遺漏、確或印刷錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。具注釋:Hadoop?和SPARK?是ApacheTM軟件在 商標(biāo)。Java?是Oracle公司在和其他國(guó)家的商標(biāo)或 的商標(biāo)。In 和Xeon?是英特爾公司在、中國(guó)和其他國(guó)家的商標(biāo) ?2013年-2016年星環(huán)信息科技() ?星環(huán)信息科技(),并保留對(duì)本說(shuō)明書(shū)及本的最終解釋權(quán)和修改權(quán)。本說(shuō)明書(shū)的 的,任何人不得以任何方式或形式對(duì)本說(shuō)明書(shū)內(nèi)的進(jìn)行、摘錄、備份、修改、、翻譯成其他語(yǔ)言、或?qū)⑵淙炕虿糠钟糜谏虡I(yè)T00146x-09-2016-08-Preface|TranswarpDataHub（TDH）提供全系統(tǒng)的認(rèn)證機(jī)制，同時(shí)提供服務(wù)對(duì)用戶的機(jī)制，確保您的集群在多用TranswarpManager的認(rèn)證，用于管理用戶對(duì)TranswarpManager的從TDH4.3，TDHuia將提供這三套機(jī)制的統(tǒng)一管理，幫助管理員輕松地保證三套信息的一致性，并且讓用戶可以通過(guò)同一套用戶名/登錄集群中服務(wù)器、登錄TranswarpManage以及集群服務(wù)。因?yàn)槠浣y(tǒng)一性，我們推薦管理員使用Guardian，TDeros在TDH集群中，KRB5LDAP是用于管理集群服務(wù)之間的以及用戶對(duì)服務(wù)的的認(rèn)證機(jī)制，它對(duì)集群中所有服務(wù)提供Kerberos認(rèn)證方式（依據(jù)用戶或服務(wù)的Kerberosprinicpal和/keytab），另外對(duì)Inceptor服務(wù)TDHTranswarpDataHub集群中，有權(quán)限機(jī)制的服務(wù)有四個(gè)：HDFS，Hyperbase，Inceptor和Kafka， Hyperbase提供全局、Namespace,Table,ColumnFamily和ColumnQualifier級(jí)別的“RWCXA(Read,Write,Create,Exec,Admin)”權(quán)限控制。2|1Kafka提供全局或Topic級(jí)別的RWCD(READ,WRITE,CREATE,DELETE |Ticket是在部署了Kerberos的集群中服務(wù)所需的憑證。Kerberos憑借Ticket中的信息來(lái)驗(yàn)證服務(wù)者的。用戶通過(guò)Kerberos認(rèn)證服務(wù)的過(guò)程中會(huì)需要兩張ticket：的憑證。用戶需要提供Kerberosprincipal和或者keytab通過(guò)Kerberos認(rèn)證才能夠獲取TGT，獲取ServiceTicket：集群中各個(gè)服務(wù)的憑證。Kerberos會(huì)自動(dòng)根據(jù)客戶端緩存的TGT來(lái)向用戶發(fā)放ServiceTicket，用戶手動(dòng)獲取了TGT后無(wú)需自己獲取ServiceTicket。（ServiceTicket），只需要出示聯(lián)票(Ticket-Granting-Ticket)，便可進(jìn)入各個(gè)公園（服務(wù)）4|2.Kerberos件中?！癒eytab”是“keytable”的簡(jiǎn)寫(xiě)，它用于存放一個(gè)或多個(gè)principal的。進(jìn)行Kerberos認(rèn)證 1.Kerberos基本概念|6|2.KerberosTranswarpManager的admin管理員安全手冊(cè)簡(jiǎn)介|Guardian作為T(mén)DH集群的基礎(chǔ)服務(wù)，可以通過(guò)TranswarpManager在第一次安裝集群時(shí)安裝，也可以在已經(jīng)安裝好的集群上安裝。安裝Guardian會(huì)自動(dòng)在集群中部署KRB5LDAP，不再需要像TDH4.3.1之前的版本中使用腳本配置KRB5LDAP。在第一次安裝集群時(shí)安裝TranswarpManager8|4.安裝Guardian分配GuardianserverGuardian服務(wù)支持高可用性（HA），所以您可以選擇啟用多臺(tái)節(jié)點(diǎn)作為Guardianserver分配Guardian所在節(jié)點(diǎn)安裝Guardian服務(wù)|我們建議您為集群的每一臺(tái)節(jié)點(diǎn)都安裝Guardian。Guardian管理員。Guardian管理員將管理集群上所有用戶在Guardian中的用戶名和OpenLDAP超級(jí)。OpenLDAP超 10|4.安裝Guardian此時(shí)，TranswarpManager會(huì)開(kāi)始安裝在安裝好的的集群上安裝登陸TranswarpManager安裝Guardian服務(wù)|12|4.安裝Guardian在管理菜單中選中Guardian的運(yùn)維|Guardian服務(wù)的角色包括：OpenLDAPServer,KerberosServer,KadminServer以及Guardian。以下14|5.Guardian 停止（點(diǎn)擊角色對(duì)應(yīng)的圖標(biāo)）和刪除（點(diǎn)擊角色對(duì)應(yīng)的 這里因?yàn)镚uardian啟用了HA，有兩套Master角色，每套各有一個(gè)OpenLDAPServer,KerberosServer和KadminServer，集群中有兩個(gè)節(jié)點(diǎn)各擔(dān)任其中一套的宿主機(jī)。同一臺(tái)宿主機(jī)上的OpenLDAPServer,KerberosServer和KadminServer合稱(chēng)為一個(gè)GuardianServer。GuardianServer同一個(gè)GuardianServer中OpenLDAPServer,KerberosServer和KadminServer成套遷移（遷移任意一個(gè)，另外兩個(gè)都將一同遷移）。我們以O(shè)penLDAPServer為例演示如何遷移GuardianServer。?點(diǎn)擊角色對(duì)應(yīng) 圖標(biāo)來(lái)開(kāi)始遷移，您會(huì)進(jìn)入一個(gè)遷移向?qū)г谶@里您需要選擇OpenLDAPServer的遷移目標(biāo)節(jié)點(diǎn)，當(dāng)前已經(jīng)安裝了OpenLDAP的節(jié)點(diǎn)不能作為遷移目5.Guardian的運(yùn)維|16|5.Guardian點(diǎn)擊可以進(jìn)入Guardian服務(wù)的配置頁(yè)面5.Guardian的運(yùn)維| Guardian策略管18|5.Guardianguardian.kerberos..password.maxlife：的最長(zhǎng)有效時(shí)間（單位：秒），超過(guò)這個(gè)時(shí)間guardian.kerberos..password.minlength：的最小長(zhǎng)度，默認(rèn)值為1guardian.kerberos..password.maxfailure：錯(cuò)誤次數(shù)限制。輸錯(cuò)次數(shù)到達(dá)此值后，對(duì)種字符，例如設(shè)為2代表必須包含5種中的兩種字符。默認(rèn)值為1。點(diǎn)擊可以進(jìn)入Guardian服務(wù)的操 頁(yè)面5.Guardian的運(yùn)維|Guardian yuminstallpython-ldap（CentOS系統(tǒng)）zypperinstallpython-ldap（SUSE）進(jìn)pythonguardian-utils.py<command><command><arguments>處提供子命令和參數(shù)。下面介紹guardian-utils.py接受的子命pythonguardian-utils.pybackup-p20|5.Guardianpythonguardian-utils.pybackup-pguardian- 注意：該操作應(yīng)該在需要導(dǎo)出數(shù)據(jù)的GuardianServerpythonguardian-utils.pyrestore-p<package_name>[-s][-a][<server1server2>]處指定兩個(gè)GuardianServer的hostname。guardian-utils.pyrestore-pguardian-backup.tar.gz-atw-node2030tw-node2031Guardian開(kāi)啟了HA注意restore所有需要導(dǎo)入數(shù)據(jù)的Guardian服務(wù)的GuardianServer如果Guardian開(kāi)啟了HA，必須-a參數(shù)指定所有的GuardianServertar.gzguardian-utils.pyupgrade-p<package_name>[-s][-a][-v][<server1server2>]處指定兩個(gè)GuardianServer的hostname。5.Guardian的運(yùn)維|guardian-utils.pyupgrade-pguardian-guardian-utils.pyupgrade-pguardian-backup.tar.gz-atw-node2030tw-注意upgrade所有需要導(dǎo)入數(shù)據(jù)的Guardian服務(wù)的GuardianServer如果Guardian開(kāi)啟了HA，必須-a參數(shù)指定所有的GuardianServertar.gzrestore子命令不同的是，upgrade支持導(dǎo)入不同Guardian版本中導(dǎo)出的數(shù)據(jù)。您無(wú)需知道當(dāng)前restore和upgrade操作會(huì)造成某些元數(shù)據(jù)狀態(tài)的不一致，TD本在4.5之前，需要重啟一次transwarpmanager在guardian1的任意一個(gè)GuardianServerpythonguardian-utils.pybackup-p 將備份數(shù)據(jù)導(dǎo)入pythonguardian-utils.pyrestore-p如果guardian2開(kāi)啟了HA（假設(shè)GuardianServer為node1和node2），將guardian_backup.tar.gz拷貝pythonguardian-utils.pyrestore-pguardian_backup.tar.gz-anode1如果您使用的是TDH4.5之前的版本，需要重啟TranswarpManager22|5.Guardian在任意一個(gè)GuardianServerpythonguardian-utils.pybackup-p 在TranswarpManager中的Guardian服務(wù)頁(yè)面點(diǎn) ，刪除服務(wù)在TranswarpManager中的管理菜單中點(diǎn)擊5.Guardian的運(yùn)維|點(diǎn)擊確認(rèn)安裝。您可以在這一步選擇是否開(kāi)啟24|5.Guardian為GuardianServer。到GuardianServer所在節(jié)點(diǎn)上，然后在該節(jié)點(diǎn)上執(zhí)行：guardian-utils.pyupgrade-pguardian-如果新安裝的Guardian服務(wù)開(kāi)啟了HA（假設(shè)GuardianServer為node1和guardian-utils.pyupgrade-pguardian-backup.tar.gz-anode1如果您使用的是TDH4.5之前的版本，需要重啟TranswarpManager5.Guardian的運(yùn)維|Kerberos模式：的服務(wù)或者用戶需要持有有效的KerberosTGT單個(gè)服務(wù)開(kāi)啟或關(guān)閉登陸TranswarpManager，點(diǎn)擊一個(gè)服務(wù)（我們以Zookeeper服務(wù)為例）26|6.服務(wù)的KRB5LDAP在該頁(yè)面，您可以選擇開(kāi)啟或關(guān)閉一鍵開(kāi)啟或關(guān)閉所有服務(wù)的角的“操作”，選擇彈出的選項(xiàng)中的“啟用/停用Kerberos安全”：服務(wù)的KRB5LDAP模式選擇|28|6.服務(wù)的KRB5LDAP即使Inceptor服務(wù)的Kerberos開(kāi)啟著，用戶也不能持KerberosTGT來(lái)Inceptor，而是需要在每次訪服務(wù)的KRB5LDAP模式選擇|需要設(shè)置為Guardian角色中OpenLDAPServer的URL。如果Guardian有多個(gè)OpenLDAPServer，那么這里也需要提供多個(gè)URL，URL之間用空格隔開(kāi)。配置完成后點(diǎn) 保存更改，然后點(diǎn)擊“操作”>“配置服務(wù) 使更改生效30|6.服務(wù)的KRB5LDAP服務(wù)的KRB5LDAP模式選擇|TranswarpManager中用戶管理的在的管理菜單中地操作系統(tǒng)、KRB5LDAP和TranswarpManager中進(jìn)行配置。管理（MANAGER）類(lèi)型：只能被用于登陸TranswarpManager32|7.在Manager點(diǎn)擊頁(yè)面右側(cè)的，進(jìn)入用戶管理頁(yè)面在Manager中進(jìn)行用戶和權(quán)限管理|點(diǎn)擊來(lái)添加一個(gè)新用戶。Manager會(huì)彈出下面的窗口，您需要在這里輸入新用戶的信息34|7.在Manager1在用戶管理界面的用戶列表中勾選一個(gè)用戶，然后點(diǎn)擊便可以將其刪除7.在Manager中進(jìn)行用戶和權(quán)限管理|編輯用戶權(quán)限（限集群用戶生成Keytab文件（限集群用戶點(diǎn)擊用戶編輯界面的，Manager會(huì)彈出下面窗口36|7.在Manager點(diǎn)擊用戶編輯界面 ，Manager會(huì)彈出下面窗口設(shè)置用戶點(diǎn)擊用戶編輯界面的，Manager會(huì)彈出下面窗口在左欄中勾選想要將用戶添加進(jìn)去的組，然后點(diǎn)擊，勾選中的組會(huì)出現(xiàn)在右欄中，表示添加在右欄中勾選想要將用戶移出的組，然后點(diǎn)擊，勾選中的組會(huì)從右欄 ，表示移出成功點(diǎn)擊用戶編輯界面的，Manager會(huì)彈出下面窗口7.在Manager中進(jìn)行用戶和權(quán)限管理|在左欄中勾選想要賦予給用戶的角色，然后點(diǎn)擊，勾選中的角色會(huì)出現(xiàn)在右欄中，表示賦予在右欄中勾選想要將從用戶處收回的角色，然后點(diǎn)擊，勾選中的角色會(huì)從右欄中 點(diǎn)擊會(huì)將用戶鎖定，用戶被鎖定后，將不能再登陸Manager或集群。要 鎖定用戶的編輯頁(yè)面點(diǎn)擊。編輯權(quán)限（限集群用戶雖然Manager類(lèi)型的用戶也有選項(xiàng)，但是我們建議不對(duì)Manager類(lèi)型的用戶點(diǎn)擊一個(gè)集群用戶的用戶編輯頁(yè)面的會(huì)進(jìn)入該用戶的權(quán)限設(shè)置窗口，如下38|7.在Manager在頁(yè)面上的操作都需要點(diǎn)擊頁(yè)面下方的才會(huì)生效7.在Manager中進(jìn)行用戶和權(quán)限管理|2.Alice在InceptorSQL1GRANTCREATETOUSER3.Alice在InceptorSQL1下面的InceptorSQL語(yǔ)句授予用戶Alice對(duì)數(shù)據(jù)庫(kù)hrGRANTCREATEONDATABASEhrTOUSERAlice;GRANTSELECTONDATABASEhrTOUSERAlice;授予用戶Alice在hrSHOWTABLES的權(quán)限。點(diǎn) ，在下拉菜單中點(diǎn)擊數(shù)據(jù)庫(kù)40|7.在Manager 7.在Manager中進(jìn)行用戶和權(quán)限管理|對(duì)應(yīng) 勾選框來(lái)授予Alice在hr中執(zhí)行SHOWTABLES的權(quán)限如果您要收回用戶Alice的權(quán)限，只需要取消勾選便可。對(duì)應(yīng)的InceptorSQLREVOKE(CREATE|SELECT)ONDATABASEhrFROMUSER如果您要收回用戶Alice對(duì)hr的全部權(quán)限，您也可以直接點(diǎn)擊hr對(duì)應(yīng)的將hr從列表中直接刪要使操作生效，您需要點(diǎn)擊頁(yè)面下方 例4.授予用戶Alice在InceptorSQL1中對(duì) 以下InceptorSQL語(yǔ)句授予用戶Alice對(duì)在數(shù)據(jù)庫(kù)hr中的testGRANT(INSERT|SELECT|UPDATE|DELETE|ALL)ONhr.testTOUSER點(diǎn) ，在下拉菜單中點(diǎn)擊數(shù)據(jù)庫(kù) 42|7.在Manager 在Manager中進(jìn)行用戶和權(quán)限管理|要收回權(quán)限，只需取消勾選。對(duì)應(yīng)的InceptorSQLREVOKE(INSERT|SELECT|UPDATE|DELETE|ALL)ONhr.testFROMUSER如果您要收回用戶Alice對(duì)test的全部權(quán)限，您也可以直接點(diǎn)擊test對(duì)應(yīng)的將test從列表中直要使操作生效，您需要點(diǎn)擊頁(yè)面下方 生成Keytab文件（限集群用戶點(diǎn)擊集群用戶編輯界面的，該用戶的Keytab文件便會(huì)自 到本地點(diǎn)擊頁(yè)面右側(cè)的，進(jìn)入用戶組管理頁(yè)面管理（MANAGER）類(lèi)型：該類(lèi)型的組只在Manager集群（KRB5LDAP）類(lèi)型：則代表該用戶組將是集群類(lèi)型的用戶組，集群類(lèi)型的用戶組既可以44|7.在Manager點(diǎn)擊添加一個(gè)新的用戶組。Manager會(huì)彈出下面窗口，您需要提供新增用戶組的信息5.在用戶組列表中選中一個(gè)組，然后點(diǎn)擊可以將選中的組刪除在Manager中進(jìn)行用戶和權(quán)限管理|點(diǎn) 可以對(duì)用戶組本身進(jìn)行編輯；點(diǎn) 可以對(duì)用戶組中的用戶進(jìn)行編輯編輯完成后點(diǎn)擊保存修改46|7.在Manager勾選“可選用戶”列表中的一個(gè)或多個(gè)用戶，點(diǎn)擊，選中用戶即被加入該組勾選“已加入該組的用戶”列表中的一個(gè)或多個(gè)用戶，點(diǎn)擊，選中用戶即被移出該組點(diǎn)擊頁(yè)面右側(cè)的，進(jìn)入用戶角色頁(yè)面7.在Manager中進(jìn)行用戶和權(quán)限管理|點(diǎn)擊可以添加一個(gè)新角色。Manager會(huì)彈出下面窗口管理（MANAGER）代表該角色將是管理類(lèi)型的角色，管理類(lèi)型的角色只能在Manager集群（KRB5LDAP）集群則代表該角色將是集群類(lèi)型的角色，集群類(lèi)型的角色既可以在Manager中使填寫(xiě)完信息后點(diǎn)擊完成添加48|7.在Manager6在用戶角色頁(yè)面的角色列表中勾選一個(gè)角色，然后點(diǎn)擊，即可以刪除選中的角色編輯角色權(quán)限（限集群角色7.在Manager中進(jìn)行用戶和權(quán)限管理|在角色編輯頁(yè)面中點(diǎn)擊，Manager會(huì)彈出下面窗口，在該窗口中您可以修改角色的描述。注在角色編輯頁(yè)面中點(diǎn)擊，Manager會(huì)彈出下面窗口在左欄中勾選想要賦予角色的用戶，然后點(diǎn)擊，勾選中的用戶會(huì)出現(xiàn)在右欄中，表示賦予成在右欄中勾選想要將從收回角色的用戶，然后點(diǎn)擊，勾選中的用戶會(huì)從右欄中 編輯角色權(quán)限（限集群角色在一個(gè)集群角色的角色編輯頁(yè)面點(diǎn)擊會(huì)進(jìn)入該角色的權(quán)限設(shè)置窗口，如下50|7.在Manager7.在Manager中進(jìn)行用戶和權(quán)限管理|在頁(yè)面上的操作都需要點(diǎn)擊頁(yè)面下方的才會(huì)生效52|7.在Manager7.sales在InceptorSQL1GRANTCREATETOROLE8.sales在InceptorSQL1下面的InceptorSQL語(yǔ)句授予角色sales對(duì)數(shù)據(jù)庫(kù)hrGRANTCREATEONDATABASEhrTOROLEsales;GRANTSELECTONDATABASEhrTOROLEsales;授予角色sales在hrSHOWTABLES的權(quán)限。點(diǎn) ，在下拉菜單中點(diǎn)擊數(shù)據(jù)庫(kù)7.在Manager中進(jìn)行用戶和權(quán)限管理| 54|7.在Manager選hr對(duì)應(yīng) 勾選框來(lái)授予角色sales在hr中執(zhí)行SHOWTABLES的權(quán)限如果您要收回角色sales的權(quán)限，只需要取消勾選便可。對(duì)應(yīng)的InceptorSQLREVOKE(CREATE|SELECT)ONDATABASEhrFROMROLE如果您要收回角色sales對(duì)hr的全部權(quán)限，您也可以直接點(diǎn)擊hr對(duì)應(yīng)的將hr從列表中直接刪要使操作生效，您需要點(diǎn)擊頁(yè)面下方 例9.授予角色sales在InceptorSQL1中對(duì) 以下InceptorSQL語(yǔ)句授予角色sales對(duì)在數(shù)據(jù)庫(kù)hr中的testGRANT(INSERT|SELECT|UPDATE|DELETE|ALL)ONhr.testTOROLE點(diǎn) ，在下拉菜單中點(diǎn)擊數(shù)據(jù)庫(kù) 在Manager中進(jìn)行用戶和權(quán)限管理| 56|7.在Manager要收回權(quán)限，只需取消勾選。對(duì)應(yīng)的InceptorSQLREVOKE(INSERT|SELECT|UPDATE|DELETE|ALL)ONhr.testFROMROLE如果您要收回角色sales對(duì)test的全部權(quán)限，您也可以直接點(diǎn)擊test對(duì)應(yīng)的將test從列表中直要使操作生效，您需要點(diǎn)擊頁(yè)面下方 在Manager中進(jìn)行用戶和權(quán)限管理|手工部署的KRB5LDAP不能納入Guardian的統(tǒng)一管理。本章面向使用TDH4.3.1之前版本的用戶，如果您使用的是TDH4.3.1推薦安裝Guardian服務(wù)中的部署方式，本章從未啟用過(guò)Kerberos裝KRB5LDAP認(rèn)證系統(tǒng)。集群中，tw-node118是管理節(jié)點(diǎn)（TranswarpManager安裝的節(jié)點(diǎn)）。tw-的時(shí)候?yàn)镮nceptor服務(wù)選用了HiveServer2，并且將認(rèn)證方式選為了LDAP。也就hive.server2.enabledhive.server2.authentication 58|8.手工部署 |-install.sh（Kerberos服務(wù)器部 |-UserManager.sh（用戶管理|-|-krb5-ldap-|- |-|-|-|-ldap-ha-|-|-|-|-enableTLS-|-|-|-|-|-|-|-|-安裝openssh-s用來(lái)scp傳輸文需要配置運(yùn)行的機(jī)器與安裝服務(wù)器或者客戶端的機(jī)器ssh無(wú)登陸，安裝完krb5-ldap服務(wù)和客戶端之后，無(wú)登陸就可以刪除了。手工部署KRB5LDAP|ssh-keygen-trsa-P[root@tw-node118~]#ssh-keygen-trsa-PGeneratingpublic/privatersakeyEnterfileinwhichtosavethekey(/root/.ssh/id_rsa):Youridentificationhasbeensavedin/root/.ssh/id_rsa.Yourpublickeyhasbeensavedin/root/.ssh/id_rsa.pub.Thekeyfingerprintis:59:c7:90:fd:b3:e0:52:0a:c1:af:dc:28:69:df:89:06root@tw-node120Thekey'srandomartimageis:+--[RSA . o o. .o..oo oS=+.o E++.. .+o + [root@tw-node118.ssh]#lsauthorized_keysconfigid_rsaid_rsa.pubknown_hosts [root@tw-node118~]#scp/root/.ssh/id_rsa.pubroot@tw- 100% [root@tw-node119~]#cat/root/.ssh/id_rsa.pub>>[root@tw-node119~]#od600現(xiàn)在從tw-node118免登陸到tw-node119已經(jīng)設(shè)置完成。我們可以從tw-node118ssh到tw-[root@tw-node118~]#sshtw-60|8.手工部署withLDAP服務(wù)，用同 使用方法:./install.sh[options]./installtw-node119tw--a：使用這個(gè)參數(shù)指定cn=Manager,dc=tdh的，如果不指定會(huì)在運(yùn)行中提示-m：使用這個(gè)參數(shù)設(shè)置MasterKey的，如果不指定會(huì)在運(yùn)行中提示-使用方法：./-install.sh 8.手工部署KRB5LDAP|MasterKey，用來(lái)加密Kerberoshive.server2.authentication.ldap.baseDNhive.server2.authentication.ldap.urlldap://tw-node119ldap://tw-Inceptor-62|8.手工部署 請(qǐng)注意，MigrateKerberos.sh必須在本地運(yùn)行，不能執(zhí)行該 [root@tw-node118]cd/root/transwarp/support/script/krb5-ldap-setup[root@tw-node118]./MigrateKerberos.shexport-m<MasterKey>-okrb5.dump①這里的MasterKey將要部署的新KRB5LDAP[root@tw-node118]sshroot@tw-node119[root@tw-node119]cdkerberos-setup[root@tw-node119]./MigrateKerberos.shimport-h<krb5-ldap-server>-ikrb5.dump[tw-node118]yumlistinstalled|grepkrb@os手工部署KRB5LDAP|[tw-node118]yumremovekrb5-[tw-node118]rpm-qa|grepkrb [tw-node118]zypperremovekrb5-[tw-node118]rm-rf[tw-node118]rm-rf服務(wù)依次啟用Kerberos，要注意為各服務(wù)啟用Kerberos（見(jiàn)本章“安裝過(guò)程”一節(jié)的末尾）。64|8.手工部署命令行管理本章介紹如何使用在進(jìn)行KRB5LDAP中的用戶管理。本章介紹的方法不能入Guardian的統(tǒng)一管理。本章面向使用TDH4.3.1之前的用戶，如果您使用的是TDH推薦在ManagerTDH中的一些服務(wù)（比如HDFS和Hyperbase）會(huì)將Kerberosprincipal映射到服務(wù)器操作系統(tǒng)中的用戶（比 行UserManager.sh krb5-ldap.conf中的內(nèi)容命令行管理KRB5LDAP|[root@tw-node118krb5-ldap-setup]#catkrb5-所以在該文 useradd（添加用戶./UserManager.shuseradd[options]-u<username>-u<username>-d：指定LDAP中的name，比如“dc=tdh”。默認(rèn)是“dc=tdh”實(shí)例操作：添加用戶[root@tw-node118krb5-ldap-setup]#./UserManager.shuseradd-utestuserUsingtheservers:tw-node119tw-Inputthepasswordfortheadminstratoruser-"admin":Pleasesetapasswordfor NewpasswordforNewpasswordfortestuserAddingprincipalsin addingnewentry Addthetestusertogroup Addingusertestuser66|9.命令行管理(DistinguishedName)是：uid=testuser,ou=people,dc=tdh。testuser的用戶組是default通過(guò)執(zhí)行kinittestuser@TDH來(lái)嘗試為testuser@TDH獲取一張ticket。如果獲取成功，則證明testuser添加[root@tw-node118krb5-ldap-setup]#kinittestuser@TDHPasswordfor [root@tw-node118krb5-ldap-setup]# Ticketcache:FILE:/tmp/krb5cc_0Defaultprincipal:testuser@TDHValidstarting 10/21/1523:28:1910/22/1509:28:19krbtgt/TDH@TDHrenewuntil10/28/15testuser@TDH獲取ticket②輸入testuser@TDH這個(gè)principal在Kerberos中的（即UserManager.sh運(yùn)行時(shí)設(shè)置的）通過(guò)[root@tw-node118krb5-ldap-setup]#ldapsearch-x-Duid=testuser,ou=people,dc=tdh-W-bEnterLDAPPassword:①這里填寫(xiě)testuser在LDAP中的（即UserManager.sh運(yùn)行時(shí)設(shè)置的）#testuser,people,objectClass:inetOrgobjectClass:organizationalobjectClass:objectClass:topcn:testuser@TDHsn:testuser@TDHuid:testuser#searchresultsearch:2result:0#numResponses:#numEntries:9.命令行管理KRB5LDAP|userdel（刪除用戶./UserManager.shuserdel[options]-u<username>-u<username>-d：指定LDAP中的name，比如“dc=tdh”。默認(rèn)是“dc=tdh”[root@tw-node118krb5-ldap-setup]#./UserManager.shuserdel-utestuserUsingtheservers:tw-node119tw-node120Inputthepasswordfortheadminstratoruser-DeletingprincipalsinDeleteusertestusergroupadd（添加用戶組./UserManager.shgroupadd[options]-g<groupname>-g<groupname>-d：指定LDAP中的name，比如“dc=tdh”。默認(rèn)是“dc=tdh”68|9.命令行管理[root@tw-node118krb5-ldap-setup]#./UserManager.shgroupadd-gtestgroupUsingtheservers:tw-node119tw-node120Inputthepasswordfortheadminstratoruser-Addinggrouptestgroupgroupdel（刪除用戶組./UserManager.shgroupdel[options]-g<groupname>-g<groupname>-d：指定LDAP中的name，比如“dc=tdh”。默認(rèn)是“dc=tdh”[root@tw-node118krb5-ldap-setup]#./UserManager.shgroupdel-gtestgroupUsingtheservers:tw-node119tw-node120Inputthepasswordfortheadminstratoruser-Deletegrouptestgroupusermod（修改用戶的用戶組./UserManager.shusermod[options]-u<username>(-g<groupname>|-x<groupname>)-d：指定LDAP中的name，比如“dc=tdh”。默認(rèn)是“dc=tdh”9.命令行管理KRB5LDAP|[root@tw-node118krb5-ldap-setup]#./UserManager.shusermod-utestuser-gtestgroupUsingtheservers:tw-node119tw-node120Inputthepasswordfortheadminstratoruser-AddthetestusertogrouptestgroupChangeusertestusersuccessfully.[root@tw-node118krb5-ldap-setup]#./UserManager.shusermod-utestuser-xtestgroupUsingtheservers:tw-node119tw-node120Inputthepasswordfortheadminstratoruser-DeletethetestuserfromgrouptestgroupChangeusertestusersuccessfully.passwd（修改用戶的/UserManager.shpasswd[options]-aadmin-u<username>-a指定管理員用戶的用戶名；-u指定修改的用戶的用戶名/UserManager.shpasswd[options]-u<username>-u指定修改的用戶的用戶名-d：指定LDAP中的name，比如“dc=tdh”。默認(rèn)是“dc=tdh”-R：更改用戶在KRB5LDAP中的，同時(shí)更新用戶對(duì)應(yīng)的操作系統(tǒng)用戶的以及更新$HOME/.keytab70|9.命令行管理[root@tw-node118krb5-ldap-setup]#./UserManager.shpasswd-aadmin-utestuserUsingtheservers:tw-node119tw-node120InputthepasswordfortheadminstratoruserPleasesetapasswordfortestuserNewpasswordfortestuser:NewpasswordfortestuserChangepasswordfortestuser[testuser@tw-node118krb5-ldap-setup]#./UserManager.shpasswd-utestuserUsingtheservers:tw-node119tw-node120InputthecurrentpasswordfortheuserPleasesetapasswordfortestuserNewpasswordfortestuser:NewpasswordfortestuserChangepasswordfortestuser 如果被修改的用戶創(chuàng)建時(shí)用了-R參數(shù)（./UserManager.shuseradd-u- 時(shí)也要加上-R參數(shù)，保證用戶對(duì)應(yīng)的操作系統(tǒng)用戶家 ktadd（為指定用戶生成keytab文件./UserManager.shktadd[options]-u-ukeytab-kkeytab文件的路徑，如果不指定則$HOME/.keytab-rKerberos的realm，如果不指定，則使用TDH或者是krb5-ldap.conf中的REALM命令行管理KRB5LDAP|[root@tw-node118krb5-ldap-setup]#./UserManager.shktadd-utestuserUsingtheservers:tw-node119tw-node120GeneratekeytabforPleasesetapasswordfortestuserEnterpasswordfortestuser:EnterpasswordfortestuserKeytabfortestuser@TDHgeneratedin/root/.keytabsuccessfully[root@tw-node118krb5-ldap-setup]#./UserManager.shktadd-k/root/testuserkt-utestuserUsingtheservers:tw-node119tw-node120GeneratekeytabforPleasesetapasswordfortestuserEnterpasswordfortestuser:EnterpasswordfortestuserKeytabfortestuser@TDHgeneratedin/root/testuserkt72|9.命令行管理在TDH，Kerberos是KRB5LDAP中的一部分，但Kerberos存放了所有principal/keyta信息，您可以通過(guò)kadmin或者kadmi.local命令行來(lái)進(jìn)入Kerberos管系統(tǒng)來(lái)管理其中的信息，比如添加和刪除用戶、修改用戶，生成keytab文件等等。于，kadmin.local只能在Kerberosserver所在節(jié)點(diǎn)使用，而且使用者必須以root用戶登陸節(jié)點(diǎn)[root@tw-node119~]#klist:Nocredentialscachefound(ticketcacheFILE:/tmp/krb5cc_0)[root@tw-node119~]#kadmin.localAuthenticatingasprincipalroot/admin@TDHwithpassword.“Authenticatingasprincipalroot/admin@TDHwithpassword.”顯示kadmin.localPasswordfor[root@tw-node119~]#Authenticatingasprincipaluserc/admin@TDHwithpassword.是說(shuō)，Kerberosserver所在節(jié)點(diǎn)的root用戶擁有Kerberos管理系統(tǒng)的所有管理權(quán)限。份登陸（登陸指令為kadmin-p<principal>）：[userc@tw-node118~]$kadmin-pCouldn'topenlogfile/var/log/kadmind.log:PermissiondeniedAuthenticatingasprincipaluserc@TDHwithpassword.Passwordforuserc@TDH:Kerberos管理系統(tǒng)簡(jiǎn)介|kadmin命令在HA模式下可能會(huì)報(bào)錯(cuò)："kadmincommunicationfailedwithserverwhileinitializingkadmininterface"-s參數(shù)指定一臺(tái)KDC的服務(wù)器，如kadmin-padmin-stw-node118。在Kerberosserver所在節(jié)點(diǎn)的kadm5.acl文件中（文件路[root@tw-node119~]#ll-rw1rootroot28Oct1801:29 [target_principal]的所有權(quán)限。將字母大寫(xiě)代表沒(méi)有對(duì)應(yīng)的權(quán)限。a添加principald刪除principalm修改principalc修改所有il列出principals設(shè)置principalkey*x所有權(quán)限（和*相同Kerberos_principal和可選的target_principal中的任意一部分：name,instance和realm都可以包含通配*/admin@TDH*admin@TDH*74|10.Kerberos10.Kerberos管理系統(tǒng)簡(jiǎn)介|管理，也不對(duì)整個(gè)KRB5LDAP起效可能導(dǎo)致集群中用戶信息的不TDH4.3.1及以前版本中，使用命令行管理KRB5LDAPTDH4.3.1及以后的版本中，使用在Manager或kadmin.local中運(yùn)行。和Kerberos指令（例如klist,kinit等）有別。[root@tw-node119~]#Authenticatingasprincipaluserc/admin@TDHwithpassword.[root@tw-node118~]#kadmin-palice/admin@TDHAuthenticatingasprincipalalice/admin@TDHwithpassword.Passwordforalice/admin@TDH:用法：add_principaloptions]執(zhí)行權(quán)限化名：addprinc,--pw76|11.Kerberos1111.Kerberos管理系統(tǒng)常用指令| kadmin:add_principalWARNING:nospecifiedforbob@TDH;defaultingtonoEnterpasswordforprincipal"bob@TDH":Re-enterpasswordforprincipalPrincipal"bob@TDH"kadmin:add_principal-pw123456WARNING:nospecifiedforcarol@TDH;defaultingtonoPrincipal"carol@TDH"created.用法：rename_principal[-]<old_principal>用法：delete_principal[-]用法：change_password[options]<principal>--pwkadmin:cpwEnterpasswordforprincipalRe-enterpasswordforprincipalPasswordfor"bob@TDH"kadmin:cpw-pw123carol@TDHPasswordfor"carol@TDH"用法：list_principals執(zhí)行權(quán)限化名：listprincs,get_principals,kadmin:listprincs*/admin@TDH用法1：ktaddknorandkey]<keytab_path>用法2：ktaddknorandkey]<keytab_path>glob執(zhí)行權(quán)限：inquire,changepw和list78|11.Kerberos1111.Kerberos管理系統(tǒng)常用指令|kadmin.local:ktadd-k/tmp/bob.keytab-norandkeyEntryforprincipalbob@TDHwithkvno7,encryptiontypeaes256-cts-hmac-sha1-96addedtokeytabEntryforprincipalbob@TDHwithkvno7,encryptiontypeaes128-cts-hmac-sha1-96addedtokeytabEntryforprincipalbob@TDHwithkvno7,encryptiontypedes3-cbc-sha1addedtokeytabEntryforprincipalbob@TDHwithkvno7,encryptiontypearcfour-hmacaddedtokeytab用法kadmin.local:ktadd-k/tmp/user.keytab-norandkey-globEntryforprincipaluser1@TDHwithkvno1,encryptiontypeaes256-cts-hmac-sha1-96addedtokeytabEntryforprincipaluser1@TDHwithkvno1,encryptiontypeaes128-cts-hmac-sha1-96addedtokeytabEntryforprincipaluser1@TDHwithkvno1,encryptiontypedes3-cbc-sha1addedtokeytabEntryforprincipaluser1@TDHwithkvno1,encryptiontypearcfour-hmacaddedtokeytabEntryforprincipaluser2@TDHwithkvno1,encryptiontypeaes256-cts-hmac-sha1-96addedtokeytabEntryforprincipaluser2@TDHwithkvno1,encryptiontypeaes128-cts-hmac-sha1-96addedtokeytabEntryforprincipaluser2@TDHwithkvno1,encryptiontypedes3-cbc-sha1addedtokeytabEntryforprincipaluser2@TDHwithkvno1,encryptiontypearcfour-hmacaddedtokeytabkadmin.local:Principaluser*@TDHdoesnot80|11.Kerberos在本手冊(cè)中,稱(chēng)部署并啟用了認(rèn)證系統(tǒng)(包括Kerberos,LDAP或者KerberoswithLDAP)”下的集群。在安全模式下的集群,用戶需要通過(guò)認(rèn)證才能安全模式下的集群中的用戶信息管理和各項(xiàng)服務(wù)的使用。如果您想要迅速通過(guò)認(rèn)證開(kāi)始使用集群,請(qǐng)閱讀快速。普通用戶KerberoswithLDAP認(rèn)證系統(tǒng)的如果您的集群部署了KerberoswithLDAP系統(tǒng),您需要有這個(gè)系統(tǒng)的用戶名和。假設(shè)您的用戶名您的Kerberosprincipal將是user_name@TDH,Kerberos是KerberoswithLDAP用戶名:alice,所以Kerberosprincipal為alice@TDH。Alice將以alice登陸集從TranswarpDataHub4.3.2開(kāi)始，TranswarpManager行Guardian組件的安裝和使用。從TDH4.3.2開(kāi)始，Guardian組件是TranswarpData您通過(guò)TranswarpManager使用Guardian組件進(jìn)行用戶管理。細(xì)節(jié)請(qǐng)參考《TranswarpDataHub運(yùn)維手冊(cè)》中的“用戶管理”章節(jié)。12.用戶安全手冊(cè)簡(jiǎn)介|快速的TranswarpManager操作，您需要有TranswarpManager中的賬戶；要進(jìn)行本章中令行操作，您需要有要登陸TranswarpManager，用瀏覽器http://<manager_node_ip>:8180，這里，<manager_node_ip>是您在TDH4.3.1之后的版本中，集群可能安裝了Guardian來(lái)進(jìn)行統(tǒng)一的認(rèn)證管理。如果安裝了Guardian，我們推下面介紹如何查看集群是否使用Guardian做統(tǒng)一的認(rèn)證管理。我們以一個(gè)普通用戶carol的進(jìn)行演示登陸TranswarpManager13.快速|(zhì)則說(shuō)明集群安裝了Guardian前，必須通過(guò)Kerberos的認(rèn)證——您需要提供Kerberosprincipal和 13.快速|(zhì)13.快速|(zhì)您在使用Inceptor之前需通過(guò)Kerberos認(rèn)證——您需要提供Kerberosprincipal和（或keytab）。Ticketcache:FILE:/tmp/krb5cc_0Defaultprincipal:usera@TDHValidstarting 11/16/1504:52:0411/16/1514:52:04krbtgt/TDH@TDHrenewuntil11/23/15klist:Nocredentialscachefound(ticketcache hdfsdfs-ls[CausedbyGSception:Novalidcredentialsprovided(Mechanismlevel:FailedtofindanyKerberostgt)];供Kerberosprincipal和（或keytab）。如果您有Kerberosprincipal和，獲取TGT的指令為kinit如果您有Kerberosprincipal和keytab文件，獲取TGTkinit-kt<keytab_path>Ticketcache:FILE:/tmp/krb5cc_0Defaultprincipal:usera@TDHValidstarting 11/16/1504:52:0411/16/1514:52:04krbtgt/TDH@TDHrenewuntil11/23/15klist:Nocredentialscachefound(ticketcacheTicketcache:FILE:/tmp/krb5cc_0Defaultprincipal:usera@TDHValidstarting 11/16/1504:52:0411/16/1514:52:04krbtgt/TDH@TDHrenewuntil11/23/15快速|(zhì)transwarp-t-h<inceptor_server_ip/hostname>Inceptor使用HiveServer1Inceptor使用HiveServer2beeline-u如果集群安裝了Guardian，您可以使用同一個(gè)用戶名/登陸TranswarpManager、集群服務(wù)器和集群在Manager中進(jìn)行賬戶管理|該頁(yè)顯示了您當(dāng)前的用戶信息，在該頁(yè)，您可以編輯您的用戶信息、更新以及獲取Keytab點(diǎn)擊用戶信息頁(yè)的，您可以編輯您的全名、郵件以及賬戶描述92|14.在Manager更新點(diǎn)擊用戶信息頁(yè)的，您可以重新設(shè)置您的賬 14.在Manager中進(jìn)行賬戶管理|獲取點(diǎn)擊用戶信息頁(yè)的，您的Keytab會(huì)自動(dòng) 94|14.在Manager的路徑。您作為普通用戶使用UserManager.sh能夠進(jìn)行的操作有ktadd指令生成keytab使用passwd指令修改./UserManager.shktadd[options]-u統(tǒng)中的一致,否則生成的keytab信息將無(wú)法使用。[alice@tw-node118krb5-ldap-setup]$./UserManager.shktadd-ualiceUsingtheservers:tw-node119tw-node120GeneratekeytabforalicePleasesetapasswordforaliceEnterpasswordforalice:EnterpasswordforaliceKeytabforalice@TDHgeneratedin/home/alice/.keytab[alice@tw-node118krb5-ldap-setup]$./UserManager.shktadd-k~/credentials/keytabs-ualiceUsingtheservers:tw-node119tw-node120GeneratekeytabforPleasesetapasswordforaliceEnterpasswordforalice:EnterpasswordforaliceKeytabforalice@TDHgeneratedin/home/alice/credentials/keytabs用法KRB5LDAP賬戶管理|/UserManager.shpasswd[options]-u<username>-d指定LDAP中的name,比如“dc=tdh”。默認(rèn)是“dc=tdh”-r指定Kerberos中的realm-f在使用-k參數(shù)的情況下,keytab信息存放的路徑,默認(rèn)存放路徑是$HOME/.keytab96|15.KRB5LDAPKerberosTicket本章介紹如何管理您的KerberosTicket,這里的Ticket是指Ticket-Granting-Ticket(TGT),是您集群中統(tǒng)管理員獲取。下面的指令您可以在安裝了Kerberos或KerberowithLDAP系統(tǒng)的集群中任意一臺(tái)機(jī)器上執(zhí)獲取Ticket:如果您當(dāng)前的session中沒(méi)有ticket或者ticket已過(guò)期,您都需要使用kinitticketkinit舉例:Alice用戶獲取[root@tw-node118~]#kinitalice@TDHPasswordforalice@TDH:kinit-kt<keytab_path>[root@tw-node118~]#kinit-kt/root/.keytab查看Ticket:[root@tw-node118~]#klist:Nocredentialscachefound(ticketcache[root@tw-node118~]#klistTicketcache:FILE:/tmp/krb5cc_0Defaultprincipal:alice@TDHValidstarting11/26/1519:04:1911/27/15renewuntil12/03/1519:04:19ServiceprincipalKerberosTicket管理|銷(xiāo)毀Ticket:[root@tw-node118~]#klistTicketcache:FILE:/tmp/krb5cc_0Defaultprincipal:alice@TDHValidstarting11/26/1519:11:3111/27/15renewuntil12/03/1519:11:31[root@tw-node118~]#kdestroy[root@tw-node118~]#klistServiceprincipalklist:Nocredentialscachefound(ticketcache98|16.KerberosTicket16.KerberosTicket管理|100|17.1818HDFS| 當(dāng)您用hdfsdfs-ls/…查看HDFS下 - 02015-08-0517:45 HDFS中“rwx”權(quán)限可以像操作系統(tǒng)下文件系統(tǒng)的“rwx”權(quán)限一樣用數(shù)字表示——比如“rwxrwxrwx”777，“rwxr-xr-x”=755等等。（KRB5LDP）何通過(guò)在anaer中進(jìn)行用戶和權(quán)限管理中介紹的方法添加的集群（K）類(lèi)型用戶，S的操作系統(tǒng)用戶組配置將和Guin中的用戶組配置一致，也就是說(shuō)DFS可以使用uin的組信息做認(rèn)證。 權(quán)限管理和Linux文件系統(tǒng)操作非常相似，只需在相同操作前加hdfsdfs即可。例hdfsdfs-od。下面舉一些簡(jiǎn)單例子修 hdfsdfs-chownalice修 hdfsdfs-chgrphadoop hdfsdfs-od777/testhdfsdfs-odg-r/testhdfsdfs-odo=r/test102|18HDFS1919Inceptor|Inceptor您需要以您所在節(jié)點(diǎn)的hiveprincipal獲得一張有效的TGT，以便讓Inceptor辨識(shí)：kinit-kt<hive_keytab_path>kinit-kt/etc/sql2/hive.keytabhive/baogang2@TDHTicketcache:FILE:/tmp/krb5cc_0Defaultprincipal:hive/baogang2@TDHValidstarting 11/21/1515:27:0311/22/1501:27:03krbtgt/TDH@TDHrenewuntil11/22/15beeline-u這里>beeline-ubeeline-u"jdbc:hive2://<server_ip/hostname>:10000/default"-nhive-pSETROLEADMIN;SHOWCURRENTROLES; |role |ADMIN 既可以被授予給用戶也可以被授予給角色。Inceptor中有兩個(gè)特殊角色：PUBLIC和ADMIN。所有用戶都有PUBLIC角色； ，只有hive用戶有ADMIN角色。一個(gè)用戶可以同時(shí)擁有多個(gè)角色，除ADMIN之外的角色都在用戶的當(dāng)前角色（CURRENTROLES）中。但是用戶也可以使用SETROLE選擇某個(gè)特定創(chuàng)建新角色、給用戶和角色等權(quán)限是ADMIN角色獨(dú)有的，擁有ADMIN角色的用戶必須先將她當(dāng)前的角色設(shè)為ADMIN才能行使ADMIN獨(dú)有的權(quán)利。CREATEROLECREATEROLErole_nameALL,DEFAULT和NONE三個(gè)詞是Inceptor預(yù)留的，不可以做角色名舉例：創(chuàng)建角色CREATEROLESHOW | | |PUBLIC| 104|19Inceptor1919Inceptor|106106|19InceptorDROPROLEDROPROLEDROPROLESHOW | | |PUBLIC SHOWCURRENTROLES：查看用戶當(dāng)前所有的角色SHOWCURRENT默認(rèn)情況下，用戶所有的角色除admin外都將在currentroles中顯示出來(lái)。該語(yǔ)句無(wú)須用戶當(dāng)前角色SHOWCURRENT | |PUBLIC SETROLESETROLE例SETROLEADMIN;SHOWCURRENTROLES; |role |ADMIN 例SETROLESHOWCURRENT |role | SETROLE使用SETROLE<role_name>后，用戶將僅有<role_name>指定的一個(gè)角色。使用SETROLEALL則可以啟用用戶在當(dāng)前session所有除ADMIN角色以外 SHOWCURRENT |role | SETROLESHOWCURRENT | |PUBLIC| | SHOWSHOW | | |PUBLIC GRANTROLEGRANTrole_name[,role_name]TOprincipal_specification[,principal_specification]...[WITHADMINOPTION];:USER|ROLE將角色授予給用戶或角色。角色的接受者可以是用戶，也可以是別的角色。如果加上了WITHADMINOPTION選GRANT(ADMIN|PUBLIC)TOUSER(user_name|role_name);GRANTrole_nametoROLE(ADMIN|PUBLIC);例GRANTr1TOUSERGRANTADMINTOUSERError:Errorwhileprocessingstatement:FAILED:ExecutionError,returncode1fromorg.apache.hadoop.hive.ql.exec.DDLTask.Errorgrantingrolesforuser1toroleadmin:null(state=08S01,code=1)①GRANTADMIN例GRANTr1TOUSERuser1WITHADMINOPTION;SHOWROLEGRANTUSERuser1;+++ | |grant_option |grantor+++ |PUBLIC| | | | |1448049579000| +++ REVOKE[ADMINOPTIONFOR]role_name[,role_name]FROMprincipal_specification[, :USER|ROLE將角色從用戶或者別的角色處收回。加上[ADMINOPTIONFOR]選項(xiàng)則只收回授予角色的權(quán)限，但是并不收回108108|19Inceptor1919Inceptor|SHOWROLEGRANTUSER+++ | |grant_option |grantor+++ |PUBLIC| | | | |1448049579000| +++ REVOKEADMINOPTIONFORr1FROMUSERuser1;SHOWROLEGRANTUSER+++ | |grant_option |grantor+++ |PUBLIC| | | | |1448049579000| |+++ REVOKEr1FROMUSER SHOWROLEGRANTUSER+++ | |grant_option|grant_time|grantor+++ |PUBLIC| | |+++ SHOWROLEGRANT：查看用戶/角色擁有的角色SHOWROLEGRANTUSERGRANTr1,r2,r3TOUSERuser1;SHOWROLEGRANTUSERuser1;+++ | |grant_option |grantor+++ |PUBLIC| | | | |1448104461000| | | |1448104461000| | | |1448104461000| +++ SHOWROLEGRANTROLEGRANTr2,r3TOROLESHOWROLEGRANTROLE+++ |role|grant_option |grantor+++ | | |1448104356000| | | |1448104356000| +++ 舉例SHOWROLEGRANTROLE+++ |role|grant_option|grant_time|grantor+++ +++ SHOWROLEGRANTROLE+++ |role|grant_option|grant_time|grantor+++ +++ SHOWPRINCIPALS在Incep