HiveServer2提供了JDBC链接操作Hive的功能,非常实用,但如果在使用HiveServer2时候,不注意安全控制,将非常危险,因为任何人都可以作为超级用户来操作Hive及HDFS数据。
比如:在配置HiveServer2的时候,hive.server2.authentication=NONE,表示没有用户认证。
使用beeline,模拟成超级用户hadoop,成功连接到HiveServer2.
创建数据库lxw1234;
0: jdbc:hive2://localhost:10000> create database lxw1234;
No rows affected (0.157 seconds)
0: jdbc:hive2://localhost:10000>
HDFS上也是以超级用户hadoop创建的目录。
再执行drop database,同样没问题。
0: jdbc:hive2://localhost:10000> drop database lxw1234;
No rows affected (0.142 seconds)
0: jdbc:hive2://localhost:10000>
如果是以普通用户链接HiveServer2,执行创建数据库,则会报权限错误,因为普通用户没有在
因此,如果使用HiverServer2来提供给用户来链接Hive,必须启用安全认证,也就是hive.server2.authentication的配置。
目前HiveServer2支持多种用户安全认证方式:NONE,NOSASL, KERBEROS, LDAP, PAM ,CUSTOM等等。
本文介绍使用自定义的用户认证方式,即CUSTOM;
如果将hive.server2.authentication设置成CUSTOM,则需要设置
hive.server2.custom.authentication.class来指定用于权限认证的类,这个类需要实现
org.apache.hive.service.auth.PasswdAuthenticationProvider接口。
我们将使用HiveServer2的用户名和密码保存起来,其中,密码以32位小写md5加密来保存,这个数据即可以保存在Hive元数据库中,也可以保存在一个配置文件中。为了方便起见,这里使用配置文件来保存。
首先需要编写用户权限验证的类:
- package com.lxw1234.hive.auth;
- import java.io.BufferedReader;
- import java.io.File;
- import java.io.FileReader;
- import java.io.IOException;
- import java.security.MessageDigest;
- import java.security.NoSuchAlgorithmException;
- import javax.security.sasl.AuthenticationException;
- import org.apache.hadoop.conf.Configuration;
- import org.apache.hadoop.hive.conf.HiveConf;
- import org.apache.hive.service.auth.PasswdAuthenticationProvider;
- public class CustomHiveServer2Auth implements PasswdAuthenticationProvider {
- @Override
- public void Authenticate(String username, String password)
- throws AuthenticationException {
- boolean ok = false;
- String passMd5 = new MD5().md5(password);
- HiveConf hiveConf = new HiveConf();
- Configuration conf = new Configuration(hiveConf);
- String filePath = conf.get("hive.server2.custom.authentication.file");
- System.out.println("hive.server2.custom.authentication.file [" + filePath + "] ..");
- File file = new File(filePath);
- BufferedReader reader = null;
- try {
- reader = new BufferedReader(new FileReader(file));
- String tempString = null;
- while ((tempString = reader.readLine()) != null) {
- String[] datas = tempString.split(",", -1);
- if(datas.length != 2) continue;
- //ok
- if(datas[0].equals(username) && datas[1].equals(passMd5)) {
- ok = true;
- break;
- }
- }
- reader.close();
- } catch (Exception e) {
- e.printStackTrace();
- throw new AuthenticationException("read auth config file error, [" + filePath + "] ..", e);
- } finally {
- if (reader != null) {
- try {
- reader.close();
- } catch (IOException e1) {}
- }
- }
- if(ok) {
- System.out.println("user [" + username + "] auth check ok .. ");
- } else {
- System.out.println("user [" + username + "] auth check fail .. ");
- throw new AuthenticationException("user [" + username + "] auth check fail .. ");
- }
- }
- //MD5加密
- class MD5 {
- private MessageDigest digest;
- private char hexDigits[] = {'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'};
- public MD5() {
- try {
- digest = MessageDigest.getInstance("MD5");
- } catch (NoSuchAlgorithmException e) {
- throw new RuntimeException(e);
- }
- }
- public String md5(String str) {
- byte[] btInput = str.getBytes();
- digest.reset();
- digest.update(btInput);
- byte[] md = digest.digest();
- // 把密文转换成十六进制的字符串形式
- int j = md.length;
- char strChar[] = new char[j * 2];
- int k = 0;
- for (int i = 0; i < j; i++) {
- byte byte0 = md[i];
- strChar[k++] = hexDigits[byte0 >>> 4 & 0xf];
- strChar[k++] = hexDigits[byte0 & 0xf];
- }
- return new String(strChar);
- }
- }
- }
将上面的程序打包成HiveServer2Auth.jar,放到$HIVE_HOME/lib下,
注意:附件中已有打包好的jar
在hive-site.xml中设置以下参数:
<property>
<name>hive.server2.authentication</name>
<value>CUSTOM</value>
</property>
<property>
<name>hive.server2.custom.authentication.class</name>
<value>com.lxw1234.hive.auth.CustomHiveServer2Auth</value>
</property>
<property>
<name>hive.server2.custom.authentication.file</name>
<value>/usr/local/apache-hive-0.13.1-bin/conf/hive.server2.users.conf</value>
</property>
在$HIVE_HOME/conf下新建文件hive.server2.users.conf,里面写入内容:
[root@dev conf]# cat hive.server2.users.conf
lxw1234,48d9a656690e1b1bf5ddee4c12d1bbd7
user,5f4dcc3b5aa765d61d8327deb882cf99
其中,48d9a656690e1b1bf5ddee4c12d1bbd7为lxw1234_password的md5加密,
5f4dcc3b5aa765d61d8327deb882cf99为password的md5加密。
接下来,重新启动HiveServer2,使用beeline连接
相关推荐
- **`HIVE_CONF_DIR`**: Hive配置文件的目录,通常包含`hive-site.xml`。 - **`JAVA_HOME`**: Java的安装目录,Hive是用Java编写的,所以需要Java环境。 - **`HIVE_AUX_JARS_PATH`**: 用于指定额外的JAR文件路径,...
在 Hive 的配置文件 `hive-site.xml` 中,需要配置自定义的认证类。添加或修改以下配置: ```xml <name>hive.server2.authentication <value>PASSWORD <name>hive.server2.authentication.provider.class...
2. 安全设置:如果Hive服务器有安全认证机制(如Kerberos),需在DBeaver中配置对应的认证信息。 3. 网络环境:连接Hive需要稳定的网络环境,确保DBeaver与Hive服务器之间的网络连通。 总结,"hive-jdbc-uber-2.6....
这需要配置 `hive.server2.enable.doAs` 为 true,以及相关安全认证设置。 **8. 性能优化** 为了提高查询性能,可以考虑以下策略: - 分桶(Bucketing)和分区(Partitioning):根据特定字段对数据进行分组,加快...
10. **安全性**:Hive支持Hadoop的认证和授权机制,如Kerberos,以及SQL标准的权限控制,确保数据的安全访问。 在解压"apache-hive-2.0.0-bin.tar"后,用户需要配置环境变量,设置Hive的安装路径、Hadoop相关路径、...
============Hive的beeline权限配置============ 1)HDFS修改core-site.xml配置 搜索 core-site.xml core-site.xml 的群集范围高级配置代码段(安全阀)添加 hadoop.proxyuser.hadoop.hosts * hadoop.proxyuser...
8. **安全性**:在生产环境中,Hive还可以通过Hadoop的Kerberos进行安全认证,以保护数据访问的安全性。 9. **性能优化**:Hive可以通过分区、桶、压缩等方式优化查询性能,同时,还可以通过调整Hive的执行引擎(如...
5. `hadoop-auth.jar` - 提供认证和安全功能的库。 6. `hive-exec.jar` - Hive执行引擎的库,包含了各种数据处理操作的实现。 7. `hive-service.jar` - Hive服务端的库,包括Metastore服务。 8. `libthrift.jar` - ...
如果有安全认证或自定义配置,可以在此处添加相关参数。 5. **测试连接**:点击“测试连接”按钮,如果配置正确,你应该能看到“连接成功”的提示。 6. **创建数据源**:配置完成后,你可以创建一个新的数据源,...
6. **存储过程**:允许用户定义自定义函数(UDF, User Defined Function)和复杂的操作,扩展 Hive 的功能。 7. **高可用性**:Hive Server 和 Metastore 可以配置为多实例,以提高服务的可靠性。 8. **安全特性**...
在某些情况下,你可能需要额外的Hive配置,例如设置`hive.server2.authentication`为`kerberos`时,需要处理Kerberos认证。此外,可能还需要提供Hive服务器的`hive-site.xml`配置文件,以便JDBC驱动能正确地找到元...
5. **配置连接参数**:设置Hive服务器的地址、端口,以及任何必要的认证信息(如用户名、密码或安全证书)。 6. **执行Hive查询**:通过客户端实例调用`executeQuery`方法,传入你的HQL(Hive Query Language)语句...
- 通过`set`命令设置Hive配置的方式可能对某些用户受到限制,可通过修改`hive.security.authorization.sqlstd.confwhitelist`配置来调整。 - 添加、删除函数和宏的操作仅对具有`admin`角色的用户开放。 - 用户自定义...
- **认证授权**:提供用户认证和授权机制; - **工作流控制**:支持工作流的暂停、重启和停止操作; - **邮件提醒**:在任务成功或失败时发送邮件通知。 ##### 1.6 Azkaban的架构 Azkaban的核心组件包括: 1. **...
9. **Hive安全性**:讲解如何通过Hive Metastore的权限控制和Hadoop的Kerberos认证来保障数据的安全。 10. **案例研究**:通过实际案例展示如何使用Hive解决大数据问题,帮助读者巩固理论知识并提升实践能力。 ...
2. **配置文件**:可能包含Atlas和Hive的配置信息,用于设置Hook的运行参数,例如Atlas服务器地址、认证信息等。 3. **示例脚本或文档**:可能会提供如何部署和配置Hive Hook的指导,帮助用户正确地将Apache Atlas...
3. **配置Hive和Spark的认证**:在华为大数据平台中,可能需要配置Kerberos认证来确保安全性。确保Oozie、Spark和Hive服务都配置了正确的Kerberos票据,以允许Oozie作业正确地访问Hive资源。这可能涉及设置`...