hive.server2.authentication引數配置
阿新 • • 發佈:2020-08-22
hive.server2.authentication引數配置
HiveServer2支援匿名(不啟用認證)和使用SASL,Kerberos(GSSAPI),通過LDAP,可插入自定義認證和可插入認證模組(PAM,支援Hive 0.13以上),CUSTOM為可基於自身需求定製的使用者安全認證模式。
-
當引數為NONE時,hive沒有啟用使用者安全認證,任何登入者都擁有超級許可權,可以對hive進行任意操作。
-
當引數為NOSASL時,需要任意一個使用者名稱,不需要密碼,不填寫或者填寫錯誤使用者名稱會導致報錯。
-
當引數為KERBEROS時,使用者需要擁有hive的keytab檔案(類似於ssh-key等金鑰),有了keytab就相當於擁有了永久的憑證,不需要提供密碼,因此只要linux的系統使用者對於該keytab檔案有讀寫許可權,就能冒充指定使用者訪問hadoop,因此keytab檔案需要確保只對owner有讀寫許可權。
-
當引數為LDAP時,hive採用ldap統一認證服務,連線訪問時需要提供username和password
-
當引數為PAM時,hive採用pam認證模組,同樣需要提供username和password,只是原理大不相同。
PAM(Pluggable Authentication Modules)即可插拔式認證模組,它是一種高效而且靈活的使用者級別的認證方式,它也是當前Linux伺服器普遍使用 的認證方式。PAM可以根據使用者的網段、時間、使用者名稱、密碼等實現認證。並不是所有需要驗證的服務都使用PAM來驗證,如MySQL-Server就沒有安 裝相應的PAM檔案。 -
當引數為CUSTOM時,可以根據自身需求對使用者登入認證進行一定客制,比如將密碼通過md5進行加密等。