Hadoop授权机制[编辑 | 编辑源代码]

Hadoop授权机制是Hadoop安全体系的核心组成部分，用于控制用户或应用程序对集群资源的访问权限。它确保只有经过验证的实体才能执行特定操作（如读取HDFS文件、提交MapReduce作业等）。授权通常与认证（如Kerberos）配合使用，构成完整的安全框架。

核心概念[编辑 | 编辑源代码]

1. 访问控制列表（ACL）[编辑 | 编辑源代码]

Hadoop通过ACL实现细粒度权限管理，包括：

• HDFS ACL：控制文件/目录的读写执行权限
• 服务级ACL：控制访问YARN、HBase等服务的权限

2. 权限模型[编辑 | 编辑源代码]

采用类Unix权限模式，包含三类实体：

• Owner：资源所有者
• Group：所属用户组
• Other：其他用户

权限类型：

3. 基于角色的访问控制（RBAC）[编辑 | 编辑源代码]

在YARN和HBase中通过角色分配权限，例如：

• hbase_admin角色可管理HBase表
• yarn_job_submitter角色可提交作业

配置与实现[编辑 | 编辑源代码]

HDFS权限配置示例[编辑 | 编辑源代码]

# 查看文件权限
hdfs dfs -ls /data/sensitive
# 输出：-rw-r----- 1 admin analysts 1024 2023-01-01 /data/sensitive

# 修改权限（owner:rw, group:r, others:无）
hdfs dfs -chmod 640 /data/sensitive

# 添加ACL规则（允许特定用户读取）
hdfs dfs -setfacl -m user:auditor:r-- /data/sensitive

YARN队列授权[编辑 | 编辑源代码]

在capacity-scheduler.xml中配置：

<property>
  <name>yarn.scheduler.capacity.root.production.acl_submit_applications</name>
  <value>prod_group</value>
</property>
<property>
  <name>yarn.scheduler.capacity.root.production.acl_administer_queue</name>
  <value>prod_admins</value>
</property>

授权流程[编辑 | 编辑源代码]

实际案例[编辑 | 编辑源代码]

金融数据分析平台的权限设计： 1. 目录结构：

  * /data/raw（权限750）：仅ETL服务账户可写
  * /data/analytics（权限755）：分析师组可读

2. YARN队列：

  * batch队列：允许ETL作业提交
  * interactive队列：限制为高级用户组

高级主题[编辑 | 编辑源代码]

自定义权限策略[编辑 | 编辑源代码]

通过实现org.apache.hadoop.security.authorize.PolicyProvider扩展授权逻辑：

public class CustomPolicyProvider extends PolicyProvider {
    private static final Service[] SERVICES = new Service[]{
        new Service("security.custom.operation", CustomProtocol.class)
    };

    @Override
    public Service[] getServices() {
        return SERVICES.clone();
    }
}

权限继承模型[编辑 | 编辑源代码]

数学表示为： ${\displaystyle P_{child}=(P_{parent}\cap M_{mask})\cup AC{E}_{explicit}}$ 其中：

• ${\displaystyle P_{parent}}$：父目录权限
• ${\displaystyle M_{mask}}$：掩码限制
• ${\displaystyle AC{E}_{explicit}}$：显式ACL条目

最佳实践[编辑 | 编辑源代码]

1. 遵循最小权限原则 2. 定期审计权限分配（使用hdfs dfs -getfacl） 3. 对敏感数据启用透明加密（TDE） 4. 在跨集群场景中使用Ranger或Sentry集中管理权限

常见问题[编辑 | 编辑源代码]

Q：为什么设置了权限但仍访问被拒？ A：可能原因：

• Kerberos认证未通过
• 父目录缺少x权限
• ACL优先级高于权限位（检查dfs.namenode.acls.enabled）

Q：如何批量修改目录权限？ A：使用find结合chmod：

hdfs dfs -find /data -type d -exec chmod 755 {} \;