hive.server2.authentication参数配置
HiveServer2支持匿名(不启用认证)和使用SASL,Kerberos(GSSAPI),通过LDAP,可插入自定义认证和可插入认证模块(PAM,支持Hive 0.13以上),CUSTOM为可基于自身需求定制的用户安全认证模式。
-
当参数为NONE时,hive没有启用用户安全认证,任何登录者都拥有超级权限,可以对hive进行任意操作。
-
当参数为NOSASL时,需要任意一个用户名,不需要密码,不填写或者填写错误用户名会导致报错。
-
当参数为KERBEROS时,用户需要拥有hive的keytab文件(类似于ssh-key等密钥),有了keytab就相当于拥有了永久的凭证,不需要提供密码,因此只要linux的系统用户对于该keytab文件有读写权限,就能冒充指定用户访问hadoop,因此keytab文件需要确保只对owner有读写权限。
-
当参数为LDAP时,hive采用ldap统一认证服务,连接访问时需要提供username和password
-
当参数为PAM时,hive采用pam认证模块,同样需要提供username和password,只是原理大不相同。
PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活的用户级别的认证方式,它也是当前Linux服务器普遍使用 的认证方式。PAM可以根据用户的网段、时间、用户名、密码等实现认证。并不是所有需要验证的服务都使用PAM来验证,如MySQL-Server就没有安 装相应的PAM文件。 -
当参数为CUSTOM时,可以根据自身需求对用户登录认证进行一定客制,比如将密码通过md5进行加密等。