MRS310普通集群用户权限限制

MRS310普通集群用户权限限制

1. 普通集群修改Ranger数据源为Ldap

https://support.huaweicloud.com/cmpntguide-mrs/mrs_01_2394.html

https://support.huaweicloud.com/cmpntguide-mrs/mrs_01_0765.html

2. manager界面创建用户

Manager_operator 角色确保DGC管理中心可以建链成功，

3. 启用hive的range鉴权

4. 重启hiveserver2实例

5. Ranger配置hive用户权限

打开range URL界面：并进入hive模块

Settings中可以看到创建的用户：

创建策略：

添加一行配置：为user1添加所有权限

6. 测试权限控制

user2没有权限操作crm_db的表

user1则有增删改查任何库的权限，同时测试可以发现user1也没有操作其他库的权限。

7. 限制用户yarn队列权限

• Manager页面“租户资源”新建对应资源队列，如图

• yarn.acl.enable 参数改为 true,保存并重启yarn
• Manager页面用户crm权限不能添加hadoop，supergroup组，角色不能添加Manager_administrator，System_administrator，queue_bigdata

         bigdata权限不能添加hadoop，supergroup组，角色不能添加Manager_administrator，System_administrator，queue_crm

• Mrs 后台，crm 提交作业到queue_bigdata队列，无权限；crm 提交作业到queue_crm队列，有权限

• Mrs 后台，bigdata 提交作业到queue_crm队列，无权限；bigdata 提交作业到queue_bigdata队列，有权限

8. 相关HIVE SQL

• 后台beeline用户登录

         !connect jdbc:hive2://192.168.0.1:2181,192.168.0.2:2181,192.168.0.3:2181/;serviceDiscoveryMode=zooKeeper;zooKeeperNamespace=hiveserver2

• 设置队列

         set mapred.job.queue.name=<QUEUE_NAME>;

• 设置库存储路径

         alter database <DATABASE_NAME> set location '<OBS_URL>';

NOTE: 后台测试yarn任务可用insert语句。