1 HDFS的权限管理介绍

HDFS的权限管理分成2大部分：

类似linux的基本权限管理(粗粒度)

针对管理对象分三种：user、group、other方式的权限管理方式

user:即目录或文件的owner

group:即上述owner所在的组

other：其他用户的统称

ACL方式的权限管理(细粒度)

可以精确控制到某个user、某个group具有对应的权限

2种方式具体见下图

基本的权限方式如同linux中目录或文件的权限管理方式，它是一种粗粒度的，不能控制到某一个用户如t1。ACL的权限管理方式就可以，如下

user:t1:r-x

表示用户t1具有读和可执行的权限(在HDFS中没有可执行的概念，暂且这么叫吧，这里的x权限就是进入目录和列出目录下的文件或内容的权限)

2 HDFS基本权限管理

创建一个文件或目录，初始的基本权限是多少呢？经历如下2过程：

2.1 默认的文件或目录权限

创建文件或目录的时候可以指定权限，没有指定的话，就使用默认的权限，如下

目录：777

文件：666

2.2 应用客户端配置的uMask

注意：这个配置是客户端可以配置的，即客户端自己主宰创建文件或目录的权限。

umask的作用：

就是对HDFS基本权限的限制，如022分别表示：0表示对owner没有限制，2表示对group不允许有写权限，2表示对other不允许有写权限。

应用客户端配置的umask其实就是拿用户设置的权限减去上述umask权限，就得到文件或目录的最终权限了。如创建目录，默认777权限，然后减去umask权限022就等于755，即默认情况下owner拥有读写和可执行权限，owner所在group拥有读和可执行权限，other拥有读和可执行的权限

下面重点来说下umask的获取过程：

首先尝试获取配置文件中的fs.permissions.umask-mode属性，如022，然后构建出umask权限对象

如果上述属性没有配置的话，获取dfs.umask属性(过时了，推荐用第一种方式)，这种方式的umask是10进制形式，如上述的022=2x8+2=18即这里的umask要配置成18

如果上述属性也没有配置的话，默认使用18即022来构建出umask对象

至此，在没有ACL设置的情况下创建文件或目录的权限即上述过程了。

3 HDFS ACL权限管理

3.1 ACL权限管理模型

AclEntry对象，如

user:t1:r-x、group:g1:rwx、other::--x、mask::r-x

default:user:t1:r-x、default:group:g1:r-x、default:other::r-x、default:mask::r-x

包含4部分内容：

public class AclEntry {

private final AclEntryType type;

private final String name;

private final FsAction permission;

private final AclEntryScope scope;

}

name:即名称，如上述的t1、g1，也可以为null如上述的mask::r-x

FsAction：权限信息，总共有如下权限 NONE("---"),

EXECUTE("--x"),

WRITE("-w-"),

WRITE_EXECUTE("-wx"),

READ("r--"),

READ_EXECUTE("r-x"),

READ_WRITE("rw-"),

ALL("rwx");

AclEntryScope:枚举值，值为ACCESS、DEFAULT

ACCESS：表示该条ACL是针对本目录或文件的，前缀省略不写

DEFAULT：只存在于目录中，前缀是default:，一旦在该目录中创建子目录或文件，子目录或文件的ACL就会继承该条ACL权限。即如果父目录中含有一个default:user:t1:r-x记录，则在创建子目录或者文件的时候，都会自动加上一条user:t1:r-x的记录

AclEntryType:枚举值，值为USER、GROUP、OTHER、MASK

USER:如上述的user:t1:r-x表示t1是一个用户

GROUP：如上述的group:g1:rwx表示g1是一个组

OTHER：如上述的other::--x表示剩余的所有用户的统称

MASK：如上述的mask::r-x，主要用于过滤，如上述的group:g1:rwx，虽然这里是rwx权限，但是真正在判定权限的时候，还是要与mask::r-x进行and操作，即过滤了w权限，所以group:g1:rwx的实际权限是group:g1:r-x，如下图所示

其实mask只作用在name值不为null的user和所有的group上，这个后面再详细说明

基本权限也可以转化成ACL权限，例子如基本权限如drwxr-xr-x，对应的ACL权限如

user::rwx 对应user权限

(group::r-x)对应group权限

mask::r-x 对应group权限

other::r-x 对应other权限

上述修改基本权限或者修改对应的ACL权限都会相互影响。有一个例外：上述的group::r-x在创建的时候依据基本权限中的group权限，但是直接修改ACL中的group::r-x权限，并不直接影响基本权限中的group权限，这也是比较坑的地方，即group::r-x权限被造出来之后就像被遗弃了。

3.2 ACCESS scope中的mask

3.2.1 mask值的主动修改

ACCESS scope中的mask对应的权限就是HDFS基本权限中的group权限。如下所示：

所以如下2种方式都可以更改基本权限中的group权限：

hdfs dfs -chmod 751

如修改基本权限为751，则mask取group权限则为5，即r-x权限，如下图所示

直接修改mask acl中的权限值

如hdfs dfs -setfacl -m mask::--x /user/lg/acl，修改了mask值，同时也修改了基本权限中的group权限

3.2.2 mask值的被动重新计算

当acl新添加或者删除的时候，都会触发mask的重新计算，计算方式就是：

所有name不为null的user类型的acl和所有的group类型的acl的权限取并集

例子如下：

这时候基本权限中的group权限也会随着mask的改变而改变。

目前到这里总结下mask:

主要设计成对其他user和group类型的权限过滤，你主动去设置mask，此时会起到一定的过滤作用，

但是一旦重新添加或者删除acl的时候，mask的值就被重新计算了，也就是说你之前设置的没啥用了，这个就意味着mask没啥鸟用，当你无意间执行chmod修改权限，就可能会造成别人如t1用户突然少了某些权限，一旦新增一个t2用户的acl权限，t1用户的权限又突然回来了，这个也算是个坑吧，不知道为啥这样设计，欢迎来讨论。

3.3 DEFAULT scope中的mask

DEFAULT scope中的mask和ACCESS scope中的mask基本类似，都是用于过滤权限。

3.3.1 mask值主动修改

上述ACCESS scope中mask值有2种方式，而DEFAULT scope中只有一种方式，就是

直接修改mask acl中的权限值

如hdfs dfs -setfacl -m default:mask::--x /user/lg/acl

修改之后上述default:user:t1:r-x 的实际权限就只是 --x了，即与default mask执行and操作的结果

3.3.2 mask值被重新计算

当acl新添加或者删除的时候，都会触发mask的重新计算，计算方式就是：

所有name不为null的user类型的acl和所有的group类型的acl的权限取并集。这里不再说明了，见ACCESS scope中的mask重新计算。

3.4 过程分析

前面介绍的是一些基本概念和理论，现在来看看下面几个过程具体会发生什么操作

3.4.1 权限验证过程

例子： 验证用户u1是否对路径/user/lg/acl有读权限

1 检查u1是否是该路径的owner

如果是owner,则直接使用基本权限中的user权限来判定，代码如下

2 遍历该路径的所有ACCESS scope的ACL权限

如果当前ACL类型是user，并且用户名匹配，如user:u1:r-x，在判定时还需要将该r-x权限和基本权限中的group权限(即mask权限)执行and操作来作为实际的权限，如果此时mask::--x，执行and操作之后实际权限变成了--x权限，即仍然没有读权限

如果当前ACL类型是group,并且该u1用户所属的groups中包含该group，同上述一样，仍然需要将该条ACL权限与基本权限中的group权限(即mask权限)执行and操作来判定最终的权限

代码如下：

3 一旦该用户在上述权限中都没匹配到，则使用基本权限中的other权限来判定

注意这里的没有匹配到的含义：如果有user:u1:--x权限，即匹配到了用户，但是该ACL并没有读权限，此时并不会去执行这部分的other权限

4 以上还未能找到相关权限则判定该用户无权限

3.4.2 创建文件或目录

1 如果创建文件或者目录时没有指定基本权限权限，则使用默认的基本权限权限

目录：777

文件：666

2 在上述基本权限的基础上应用客户端配置的umask权限，默认是022，则目录和文件分别变成

目录：755

文件：644

3 如果父目录中含有DEFAULT scope的ACL权限信息

default:user::rwx和上述文件或目录基本权限中的user权限执行and操作作为最终的基本权限中的user权限 default:mask::r-x和上述文件或目录基本权限中的group权限执行and操作作为最终的基本权限中的group权限 default:other::--x和上述文件或目录基本权限中的other权限执行and操作作为最终的基本权限中的other权限

例子如下：

default中的其他权限直接作为子目录或文件的ACCESS权限

代码见：

4 如果创建的是子目录，则将全部的default权限复制给子目录作为子目录的default权限

5 然后重新计算子文件或目录的基本权限(因为上述过程可能会修改基本权限)

代码见

3.4.3 修改ACL

新增或删除或修改ACL操作的时候都会重新计算mask的值

ACCESS scope中的ACL变动会重新计算ACCESS scope中的mask

DEFAULT scope中的ACL变动会重新计算DEFAULT scope中的mask

mask的计算方式上面就说明了。