请教一下,hue+sentry+ldap+impala+hive在hue上提交任务hive任务的时候
请教一下,hue+sentry+ldap+impala+hive在hue上提交任务hive任务的时候,使用的是hue的另外一个用户,显示的是hive用户提交的,我想把这个取消,有什么好的方法吗?我只让他显示哪个用户提交到yarn上的,显示是哪个用户
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在Hue中提交Hive任务时,如果任务显示为由Hive用户提交而非实际操作的Hue用户,这通常是因为Hue在与Impala、Hive等服务交互时使用了代理用户(如Hive用户)进行作业提交。要让提交到YARN的任务直接显示Hue登录用户的名称,您需要确保Hue配置正确地传递了用户身份信息给这些执行引擎。以下是调整这一行为的一些建议步骤:
-
确认Hue代理用户配置: 确保您已按照文档配置了正确的LDAP代理认证用户,且该代理用户仅用于通过LDAP认证,并非实际代表任务提交者。代理用户应具备足够的权限以代理其他用户执行查询,但不应直接作为任务的提交者显示。
-
调整Hue与执行引擎的集成配置:
- 对于Hive、Impala等服务,Hue通过特定的配置项来指定如何将用户身份传递给这些服务。例如,在Hue的配置中,可能需要设置
hive.server2.proxy.user或类似Impala的相应配置,确保它们被设置为当前登录Hue的用户而不是固定的Hive用户。
- 对于Hive、Impala等服务,Hue通过特定的配置项来指定如何将用户身份传递给这些服务。例如,在Hue的配置中,可能需要设置
-
更新Hue安全配置:
- 在Hue的安全配置中,检查是否有关于Sentry角色映射或代理用户设置的部分,确保这些配置没有强制将所有请求映射到单一用户账户上。
-
验证执行引擎的认证和授权策略:
- 在Hive和Impala的服务端,确认它们的LDAP认证配置允许并正确处理来自Hue的委托用户身份验证。确保执行引擎配置支持并正确解析由Hue传来的实际用户凭证。
-
测试与验证:
- 登录Hue使用一个普通LDAP用户提交Hive任务,然后检查YARN的任务管理界面或日志,确认任务显示的是实际登录Hue的用户名称。
-
考虑Sentry的角色分配: 如果使用了Sentry进行权限管理,确保每个Hue用户在Sentry中有对应的角色和权限,这样他们在提交任务时,其权限会基于自己的身份而非统一的代理用户。
通过上述步骤,您可以实现让Hue提交至YARN的任务直接显示实际操作的Hue用户名称,而非默认的代理用户。请根据您的具体环境和需求,适当调整相关配置。
