HBase的用戶機(jī)制和Hadoop的用戶機(jī)制是一樣的炎辨。但對剛接觸的人來說,相當(dāng)?shù)碾[蔽丝格,啟動HBase不用設(shè)置用戶名撑瞧、密碼,連接HBase也不需要設(shè)置用戶名显蝌、密碼预伺。但HBase(實(shí)質(zhì)上是Hadoop)提供了默認(rèn)的用戶來執(zhí)行操作。
-
超級用戶
如果沒有特意配置曼尊,那么HBase會選擇啟動HBase的系統(tǒng)用戶作為超級用戶酬诀。如果需要改變超級用戶,可通過修改hbase-site.xml來配置骆撇,加入hbase.superuser瞒御。
<property>
<name>hbase.superuser</name>
<value>admin</value>
</property>
-
默認(rèn)用戶
默認(rèn)用戶也類似,在沒有特意配置時(shí)神郊,HBase會選擇當(dāng)前的系統(tǒng)用戶作為HBase的用戶肴裙,改變默認(rèn)用戶隱藏的比較深趾唱,我們從代碼來看。
分析源碼
在創(chuàng)建Connection時(shí)蜻懦,會判斷是否已經(jīng)創(chuàng)建了用戶甜癞,如果沒有,會調(diào)用LoginContext的login()方法來創(chuàng)建阻肩。中間的調(diào)用就直接跳過了带欢,想詳細(xì)看的可以參照以下堆棧信息。
在login方法中烤惊,按順序反射調(diào)用了LOGIN_METHOD(login())和COMMIT_METHOD(commit())乔煞,中間啰嗦的代碼就...跳過了,抓住重點(diǎn)看:
public void login() throws LoginException {
...
try {
// 分別反射調(diào)用了login和commit方法
invokePriv(LOGIN_METHOD);
invokePriv(COMMIT_METHOD);
...
} catch (LoginException le) {
...
}
}
invokePriv方法是invoke方法的帶權(quán)限執(zhí)行柒室,主要看invoke方法渡贾。在invoke方法中,遍歷module stack中的元素雄右,對里面的每個元素反射執(zhí)行l(wèi)ogin和commit方法空骚。Module Stack中有兩個元素,UnixLoginModule和UserGroupInformation$HadoopLoginModule擂仍。實(shí)際執(zhí)行的順序就是:
- UnixLoginModule#login
- UserGroupInformation$HadoopLoginModule#login
- UnixLoginModule#commit
- UserGroupInformation$HadoopLoginModule#commit
private void invoke(String methodName) throws LoginException {
for (int i = moduleIndex; i < moduleStack.length; i++, moduleIndex++) {
try {
int mIndex = 0;
Method[] methods = null;
// 獲取login module的methods
if (moduleStack[i].module != null) {
methods = moduleStack[i].module.getClass().getMethods();
} else {
// 如果login module還沒創(chuàng)建囤屹,就反射創(chuàng)建一個,再獲取login module的methods
...
}
// 遍歷找到對應(yīng)的方法
for (mIndex = 0; mIndex < methods.length; mIndex++) {
if (methods[mIndex].getName().equals(methodName)) {
break;
}
}
// 主要就是這里逢渔,反射調(diào)用了方法名為方法參數(shù)methodName的無參方法
Object[] args = { };
boolean status = ((Boolean)methods[mIndex].invoke
(moduleStack[i].module, args)).booleanValue();
if (status == true) {
// 成功后的處理
...
} else {
// 失敗了的處理
...
}
} catch (Exception e) {
// 各種Exception處理
...
}
}
// 收尾工作肋坚,處理Error,清空狀態(tài)
...
}
- UnixLoginModule的login方法從系統(tǒng)中獲取到了用戶的登錄信息
public boolean login() throws LoginException {
...
ss = new UnixSystem();
if (ss == null) {
...
} else {
userPrincipal = new UnixPrincipal(ss.getUsername());
...
return true;
}
}
- UserGroupInformation$HadoopLoginModule的login是空方法肃廓,只return了true
public boolean login() throws LoginException {
if(UserGroupInformation.LOG.isDebugEnabled()) {
UserGroupInformation.LOG.debug("hadoop login");
}
return true;
}
- UnixLoginModule的commit方法把獲取到的登錄信息寫到了subject里
public boolean commit() throws LoginException {
if (succeeded == false) {
...
return false;
} else {
if (subject.isReadOnly()) {
throw new LoginException
("commit Failed: Subject is Readonly");
}
// 把用戶名塞進(jìn)subject
if (!subject.getPrincipals().contains(userPrincipal))
subject.getPrincipals().add(userPrincipal);
// 把其他參數(shù)塞進(jìn)subject
...
commitSucceeded = true;
return true;
}
}
寫完之后subject里是這樣的智厌,多了用戶和組的信息。
- UserGroupInformation$HadoopLoginModule的commit方法盲赊,分3種情況來獲取用戶铣鹏。有KERBEROS,取KERBEROS的用戶信息哀蘑;有HADOOP_USER_NAME诚卸,取HADOOP_USER_NAME的用戶信息;都沒有绘迁,就取Unix/Linux系統(tǒng)的用戶信息惨险,就是第3步commit到subject中的用戶信息。
public boolean commit() throws LoginException {
if(!this.subject.getPrincipals(User.class).isEmpty()) {
return true;
} else {
Principal user = null;
// 如果啟用了KERBEROS
if(UserGroupInformation.isAuthenticationMethodEnabled(
UserGroupInformation.AuthenticationMethod.KERBEROS)) {
user = this.getCanonicalUser(KerberosPrincipal.class);
}
if(!UserGroupInformation.isSecurityEnabled() && user == null) {
// 從系統(tǒng)環(huán)境變量里找HADOOP_USER_NAME
String envUser = System.getenv("HADOOP_USER_NAME");
if(envUser == null) {
// 從Java變量里找HADOOP_USER_NAME
envUser = System.getProperty("HADOOP_USER_NAME");
}
user = envUser == null?null:new User(envUser);
}
// 實(shí)在找不到了脊髓,就用系統(tǒng)的用戶信息
if(user == null) {
user = this.getCanonicalUser(UserGroupInformation.OS_PRINCIPAL_CLASS);
...
}
// 把User實(shí)例塞進(jìn)subject
if(user != null) {
this.subject.getPrincipals().add(new User(((Principal)user).getName()));
return true;
} else {
...
}
}
}
Commit執(zhí)行完以后辫愉,User實(shí)例就創(chuàng)建完成了,可以看到User實(shí)例中只有name将硝。
修改用戶
知道了HBase是如何獲取用戶信息的恭朗,就可以相應(yīng)的改變用戶了屏镊。
根據(jù)UserGroupInformation$HadoopLoginModule的commit中獲取用戶的3種方法,就可分3種情況修改用戶:
KERBEROS
改變KERBEROS用戶(運(yùn)維比較復(fù)雜痰腮,不在考慮范圍)而芥。系統(tǒng)用戶
通過切換操作系統(tǒng)的用戶來完成。-
HADOOP_USER_NAME
通過設(shè)置System環(huán)境變量改變用戶膀值,需要重啟進(jìn)程才會生效棍丐。export HADOOP_USER_NAME=admin通過設(shè)置System Properties改變用戶,需要在Connection創(chuàng)建之前設(shè)置沧踏,這里的System指的是JavaVM歌逢。
System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
舉例來說,masa用戶是沒有權(quán)限的翘狱,admin用戶是有權(quán)限的秘案。使用默認(rèn)用戶masa訪問集群,執(zhí)行這段代碼時(shí)潦匈,拋出了Exception阱高,原因是沒有權(quán)限。
Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);
Exception in thread "main" org.apache.hadoop.hbase.security.AccessDeniedException: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions for user ‘masa',action: scannerOpen, tableName:liehutest, family:f.
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:525)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:919)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:854)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1284)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$RegionOperation.call(RegionCoprocessorHost.java:1673)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperation(RegionCoprocessorHost.java:1748)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperationWithResult(RegionCoprocessorHost.java:1722)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.preScannerOpen(RegionCoprocessorHost.java:1279)
at org.apache.hadoop.hbase.regionserver.RSRpcServices.scan(RSRpcServices.java:2252)
at org.apache.hadoop.hbase.protobuf.generated.ClientProtos$ClientService$2.callBlockingMethod(ClientProtos.java:32205)
at org.apache.hadoop.hbase.ipc.RpcServer.call(RpcServer.java:2114)
at org.apache.hadoop.hbase.ipc.CallRunner.run(CallRunner.java:101)
at org.apache.hadoop.hbase.ipc.RpcExecutor.consumerLoop(RpcExecutor.java:130)
at org.apache.hadoop.hbase.ipc.RpcExecutor$1.run(RpcExecutor.java:107)
at java.lang.Thread.run(Thread.java:745)
在任務(wù)執(zhí)行之前設(shè)置用戶名茬缩,就可以執(zhí)行成功了赤惊。
System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);
get scanner org.apache.hadoop.hbase.client.ClientScanner@dd8ba08
Process finished with exit code 0
-END-
