hive.server2.authentication參數配置
HiveServer2支持匿名(不啟用認證)和使用SASL,Kerberos(GSSAPI),通過LDAP,可插入自定義認證和可插入認證模塊(PAM,支持Hive 0.13以上),CUSTOM為可基於自身需求定制的用戶安全認證模式。
-
當參數為NONE時,hive沒有啟用用戶安全認證,任何登錄者都擁有超級權限,可以對hive進行任意操作。
-
當參數為NOSASL時,需要任意一個用戶名,不需要密碼,不填寫或者填寫錯誤用戶名會導致報錯。
-
當參數為KERBEROS時,用戶需要擁有hive的keytab文件(類似於ssh-key等密鑰),有了keytab就相當於擁有了永久的憑證,不需要提供密碼,因此只要linux的系統用戶對於該keytab文件有讀寫權限,就能冒充指定用戶訪問hadoop,因此keytab文件需要確保只對owner有讀寫權限。
-
當參數為LDAP時,hive采用ldap統一認證服務,連接訪問時需要提供username和password
-
當參數為PAM時,hive采用pam認證模塊,同樣需要提供username和password,只是原理大不相同。
PAM(Pluggable Authentication Modules)即可插拔式認證模塊,它是一種高效而且靈活的用戶級別的認證方式,它也是當前Linux服務器普遍使用 的認證方式。PAM可以根據用戶的網段、時間、用戶名、密碼等實現認證。並不是所有需要驗證的服務都使用PAM來驗證,如MySQL-Server就沒有安 裝相應的PAM文件。 -
當參數為CUSTOM時,可以根據自身需求對用戶登錄認證進行一定客制,比如將密碼通過md5進行加密等。