HDFS多用户管理ACL机制other权限访问控制的理解
非Master服务器用户也能通过客户端远程访问Hadoop
现象:在Hadoop集群多用户管理实践中发现,客户端用非Master服务器配置的用户连接Master,也通用具备对指定目录的操作权限。比如Master服务器提供的用户的是A,理论上客户端应用在A用户下部署安装hadoop后远程连接,但现在客户端用B用户安装Hadoop客户端并连接Master服务器,且可在指定目录下rwx,只是在涉及datanode任务时会提示权限不足。
原理:默认ACL必须包含所有最小要求的ACL项,包括文件拥有者项,文件所属的组项和其它用户项。如果用户没有在默认ACL中配置上述三项中的任何一个,那么该项将通过从访问ACL拷贝对应的权限来自动插入,或者如果没有访问ACL则自动插入权限位。默认ACL也必须拥有mask,如果mask没有被指定,通过计算所有被mask过滤项的权限与(&运算)自动插入mask。当一个文件使用ACL时,权限检查的算法则变为:
1)当用户名为文件的属主时,会检查属主的权限。
2)否则如果用户名匹配命名用户条目中的一个时,权限会被检查并通过mask权限来进行过滤。
3)否则如果文件的组匹配到当前用户的组列表中的一个时,而这些权限经过mask过滤后仍然会授权,会被允许使用。
4)否则如果其中一个命名组条目匹配到组列表中的一个成员,而这些权限经过mask过滤后仍然会授权,会被允许使用。
5)否则如果文件组和任何命名组条目匹配到组列表中的一个成员时,但是访问不会被任何一个权限所授权时,访问会被拒绝。
6)除此之外,other权限位会被检查。
最佳实践时基于传统的权限位设置大部分权限要求,然后定义少量带有特殊规则的ACL增加权限位。相比较只是用权限位的文件,使用ACL的文件会在NameNode中产生额外的内存消耗。
分析:ACL机制分user、group、other三组权限,对于非master服务器创建的用户连接过来的客户端的用户,放在other组管理,如果other组权限ACL设置为rwx权限则具备操作权限。
1)unnameduser (file owner)文件的拥有者
2)unnamedgroup (file group)文件的所属组
3)nameduser除了文件的拥有者和拥有组之外,的其它用户
4)namedgroup除了文件的拥有者和拥有组之外,的其它用户
mask 权限掩码,用于过滤named user和named group的权限
HDFS通过ACL控制文件目录权限,在服务器上新增的用户目录/user/A,然后把该配置同hadoop包给到客户端配置,这样通过客户端连接上来的就默认文件目录/user/A属于A用户,如果客户端是通过B部署客户端并远程连接,则目录/user/A用other组权限来授予B用户。显然A用户是文件拥有者,而B用户是其他用户。
这里面需要关注集群多用户管理上的两个细节:
1)Master新建用户所配置的目录体现在Hadoop客户端那个配置文件下,这样通过客户端连接上来的不管是哪个用户,都是检查该目录的权限。
2)要重点掌握ACL机制,并理解mask作用。
实际上,对于Hadoop多用户集群管理,如果只是通过hdfs集成ACL机制来支撑,那也只是实现了文件目录的权限控制,对于资源调度和作业管理,如存储空间和计算能力,还需依赖其他机制。
HDFS多用户管理ACL机制other权限访问控制的理解相关推荐
- 关于Hadoop多用户管理支持客户端远程操作的理论总结
1.问题 Hadoop客户端如何配置可远程操作Hadoop:Hadoop多用户情况下,是如何管理权限并分配存储空间和计算能力,保证集群的稳定. 2.Hadoop平台 要理解客户端如何通过指定用户远程操 ...
- RHCE系列之权限管理----ACL(访问控制列表)
我们知道,在Linux操作系统中,传统的权限管理分是以三种身份(属主.属組以及其它人)搭配三种权限(可读.可写以及可执行),并且搭配三种特殊权限(SUID,SGID,SBIT),来实现对系统的安全保护 ...
- 权限管理 UGO 、 ACL 、特殊权限
权限管理 一.基本权限UGO 1.1权限的三种类型 读:r=4 读的权限有r来表示,也可以用数字4代替. 写:w=2写的权限用w来表示,也可以用数字2代替. 执行:写x=1执行的权限用x来表示,也可也 ...
- Zookeeper ACL机制
权限介绍 Zookeeper权限管理(ACL)支持5种权限 CREATE:创建子节点 READ:获取本节点数据.节点信息及子节点列表 DELETE:删除子节点 WRITE:设置本节点数据 ADMIN: ...
- Hadoop(HDFS)文件读写机制
Hadoop(HDFS)文件读写机制 一.概述 采用Hadoop提供的API进行HDFS文件系统访问,文件读取时默认是顺序.逐block读取:写入时是顺序写入. 二.读写机制 首先来看文件读取机制: ...
- java rbac_RBAC基于角色的权限访问控制
RBAC是什么,能解决什么难题? RBAC是Role-Based Access Control的首字母,译成中文即基于角色的权限访问控制,说白了也就是用户通过角色与权限进行关联[其架构灵感来源于操作系 ...
- 2021年大数据Hadoop(十四):HDFS的高可用机制
全网最详细的Hadoop文章系列,强烈建议收藏加关注! 后面更新文章都会列出历史文章目录,帮助大家回顾知识重点. 目录 本系列历史文章 前言 HDFS的高可用机制 HDFS高可用介绍 组件介绍 Nam ...
- 常见的权限访问控制模型
权限访问控制即控制用户对资源或者服务的访问权限,目前流行的权限访问控制模型有以下几种. MAC(Mandatory Access Control) 起初由政府和军方设计并使用, 它有非常严格的访问控制 ...
- android通过用户名密码访问服务器获取信息_MySQL ------ 管理用户对数据库的访问控制(GRANT 与 REVOKE)(二十九)...
数据库服务器通常包含着关键的数据,所以为了确保这些数据的安全和完整需要要利用访问控制. MySQL服务器的安全基础是:用户应该对他们需要的数据具有适当的访问权,既不能多也不能少(即用户不能对过多的数据 ...
最新文章
- 《游戏设计师修炼之道:数据驱动的游戏设计》一1.4小结
- 2560x1600分辨率高吗_手机屏幕分辨率真的越高越好?它的好处和坏处你知道吗?...
- Sqoop_ 简单介绍
- FlexViewer入门资料
- python怎么转到下一行_Python转到下一行并保存/编辑内容
- 复练-关于面试的科技树-职业规划、胜任力、入职
- 资深和新手的100大 Selenium面试问答
- centos6.8yum安装mysql_centos6.8 yum安装mysql 5.6 (完整)
- 洛谷P2178 品酒大会【后缀数组】【单调栈】
- 一个简单的Python自动投票
- LINUX中文输入法
- 软件开发项目成本管理实践
- Excel任务该如何在FineReader 12中设置
- 尔雅 2017大学计算机基础答案,2018超星尔雅大学计算机基础答案
- ubuntu16.04查看opencv版本
- 卡方检验的统计量推导_解释相关性的卡方检验的所有统计量 - Minitab
- 用Python爬取网页数据,手把手教会你!
- UE5 C++ Rider 编程指南 1.编辑器基础
- 新手如何成为一名黑客
- 【几维安全】共享单车安全漏洞频现 女黑客轻松破解4款共享单车app