CDH中的Hive文件系统权限

翻译： https://www.cloudera.com/documentation/enterprise/latest/topics/cdh_ig_filesystem_perm.html

版本： 5.14.2

Hive数据存储在HDFS中，通常位于/user/hive/warehouse下 。如果/user/hive and /user/hive/warehouse 目录尚不存在，则需要创建目录。确保这个位置（或者你指定的任何路径 hive.metastore.warehouse.dir ）存在并且可以由您希望创建表的用户写入。

重要：

Cloudera建议将Hive仓库目录的权限设置为 1777 ，让所有用户都可以访问 。这允许用户创建和访问他们的表，但是阻止不了他们删除其他用户的表。

另外，每个提交查询的用户都必须有一个HDFS主目录。 / tmp目录 （在本地文件系统上）必须是可写的，因为Hive广泛使用它。

HiveServer2 Impersonation 允许用户以连接用户的身份执行查询并访问HDFS文件。

如果您未启用impersonation，HiveServer2默认执行所有Hive任务作为启动Hive服务器的用户对于使用Kerberos身份验证的群集，这是映射到与HiveServer2一起使用的 Kerberos主体 的ID 。设置权限 1777 如上所述，允许此用户访问Hive仓库目录。

您可以 在服务器和客户端上 设置更改此默认行为hive.metastore.execute.setugi 为true。此设置会使Metastore服务器使用客户端的用户和组权限。

CDH大数据之Sentry权限管理

cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。

kerberos主要负责平台用户的用户认证，sentry则负责数据的权限管理。

Apache Sentry是Cloudera公司发布的一个Hadoop开源组件，它提供了细粒度级、基于角色的授权以及多租户的管理模式。

Sentry提供了对Hadoop集群上经过身份验证的用户和应用程序的数据控制和强制执行精确级别权限的功能。Sentry目前可以与Apache Hive，Hive Metastore / HCatalog，Apache Solr，Impala和HDFS（仅限于Hive表数据）一起使用。

Sentry旨在成为Hadoop组件的可插拔授权引擎。它允许自定义授权规则以验证用户或应用程序对Hadoop资源的访问请求。Sentry是高度模块化的，可以支持Hadoop中各种

数据模型的授权。

详情见： http://www.manongjc.com/detail/19-bmgrkayojlbhoyz.html

基于HUE可视化的大数据权限管理

基于Sentry的大数据权限解决方案

基于Kerberos+Ldap复合认证的大数据权限

基于Kerberos认证的大数据权限解决方案

基于LDAP认证的大数据权限解决方案

---