问题描述:ranger在checkPrivileges(org.apache.ranger.authorization.hive.authorizer.RangerHiveAuthorizer)时,当类型是uri时会校验格式,必须是hdfs:,file:

if (hiveObjType == HiveObjectType.URI && isPathInFSScheme(path)) {

    FsAction permission = getURIAccessType(hiveOpType);

    if (!isURIAccessAllowed(user, permission, path, getHiveConf())) {

	throw new HiveAccessControlException(String.format("Permission denied: user [%s] does not have [%s] privilege on [%s]", user, permission.name(), path));

    }

    continue;

}

private boolean isPathInFSScheme(String uri) {
   // This is to find if HIVE URI operation done is for hdfs,file scheme
   // else it may be for s3 which needs another set of authorization calls.
   boolean ret = false;
   String[] fsScheme = hivePlugin.getFSScheme();
   if (fsScheme != null) {
      for (String scheme : fsScheme) {
         if (!uri.isEmpty() && uri.startsWith(scheme)) {
            ret = true;
            break;
         }
      }
   }
   return ret;
}

private static String RANGER_PLUGIN_HIVE_ULRAUTH_FILESYSTEM_SCHEMES_DEFAULT = "hdfs:,file:";

开启debug格式,查看执行日志的请求信息。

2022-12-12T06:44:33,683 DEBUG [b70562ff-5cbd-44e8-acb8-71b8799ed734 HiveServer2-Handler-Pool: Thread-63([])]: authorizer.RangerHiveAuthorizer (RangerHiveAuthorizer.java:checkPrivileges(788)) - 'checkPrivileges':{'hiveOpType':CREATETABLE,

'inputHObjs':['HivePrivilegeObject':{'type':DFS_URI, 'dbName':null, 'objectType':DFS_URI, 'objectName':s3a://xxxx/xxx/xxx/xxxx_daily_test, 'columns':[], 'partKeys':[], 'commandParams':[], 'actionType':OTHER}],

'outputHObjs':['HivePrivilegeObject':{'type':DATABASE, 'dbName':dev, 'objectType':DATABASE, 'objectName':null, 'columns':[], 'partKeys':[], 'commandParams':[], 'actionType':OTHER},'HivePrivilegeObject':{'type':TABLE_OR_VIEW, 'dbName':dev, 'objectType':TABLE_OR_VIEW, 'objectName':xxxx_daily_test, 'columns':[], 'partKeys':[], 'commandParams':[], 'actionType':OTHER}],

'context':{'clientType':HIVESERVER2, 'commandString':create table if not exists dev.xxxx_daily_test ( event_date string,

reason string)PARTITIONED BY

(

pdate string

)

STORED AS PARQUET

LOCATION 's3a://xxxx/xxxx/xxx/xxxx_daily_test', 'ipAddress':172.31.176.136, 'forwardedAddresses':null, 'sessionString':b70562ff-5cbd-44e8-acb8-71b8799ed734}, 'user':xxxxx, 'groups':[]}

  

修改代码为自定义的校验方式

	// add s3 path check

	if(hiveObjType == HiveObjectType.URI) {

	    FsAction permission = getURIAccessType(hiveOpType);

	    if(!isURIAccessAllowedForS3(user, path)) {

	        throw new HiveAccessControlException(String.format("Permission denied: user [%s] does not have [%s] privilege on [%s]", user, permission.name(), path));

	    }

	    continue;

	}

	private boolean isURIAccessAllowedForS3(String userName, String uri) {

		boolean ret = false;

			try {

				// give all file privilege

				if (userName.equalsIgnoreCase("hadoop")) {

					ret = true;

				} else {

					if (uri.startsWith("s3a://user-devs") || uri.startsWith("s3://user-devs")) {

						ret = true;

					} else {

						LOG.error("uri[" + uri + "] should start with s3a://user-devs or s3://user-devs for user[" + userName + "].");

						ret = false;

					}

				}

			} catch(Exception excp) {

				ret = false;

				LOG.error("Error getting permissions for " + uri, excp);

			}

		return ret;

	}

  参考类型变化

			case DATABASE:

				objType = HiveObjectType.DATABASE;

			break;

			case PARTITION:

				objType = HiveObjectType.PARTITION;

			break;

			case TABLE_OR_VIEW:

				if(hiveOpTypeName.contains("index")) {

					objType = HiveObjectType.INDEX;

				} else if(! StringUtil.isEmpty(hiveObj.getColumns())) {

					objType = HiveObjectType.COLUMN;

				} else if(hiveOpTypeName.contains("view")) {

					objType = HiveObjectType.VIEW;

				} else {

					objType = HiveObjectType.TABLE;

				}

			break;

			case FUNCTION:

				objType = HiveObjectType.FUNCTION;

				if (isTempUDFOperation(hiveOpTypeName, hiveObj)) {

					objType = HiveObjectType.GLOBAL;

				}

			break;

			case DFS_URI:

			case LOCAL_URI:

                objType = HiveObjectType.URI;

            break;

			case COMMAND_PARAMS:

			case GLOBAL:

				if ( "add".equals(hiveOpTypeName) || "compile".equals(hiveOpTypeName)) {

					objType = HiveObjectType.GLOBAL;

				}

			break;

			case SERVICE_NAME:

				objType = HiveObjectType.SERVICE_NAME;

			break;

			case COLUMN:

				// Thejas: this value is unused in Hive; the case should not be hit.

			break;

  

重新编译

cd /Users/xxxx/sourceCodeProj/ranger/hive-agent
mvn -DskipTests=true clean package

Apache Ranger系列九:修改源码支持URI类型为s3的操作的更多相关文章

  1. java多线程系列(九)---ArrayBlockingQueue源码分析

    java多线程系列(九)---ArrayBlockingQueue源码分析 目录 认识cpu.核心与线程 java多线程系列(一)之java多线程技能 java多线程系列(二)之对象变量的并发访问 j ...

  2. ok6410 u-boot-2012.04.01移植二修改源码支持单板

    继ok6410 u-boot-2012.04.01移植一后修改代码,对ok6410单板初始化,主要包括时钟.串口.NAND.DDR等初始化.这些工作在以前的裸板程序都写了,直接拿来用.我觉得先写裸板程 ...

  3. sqlsugar入门(4)-修改源码支持多主键保存ISaveable

    1.查看其它接口发现少了一个最重要的SaveBuilder.此文件是存放sql模板,where条件,select解析,组装成tosqlstring的最后一个类. 添加文件 using System; ...

  4. 修改Cosbench源码 支持s3的 http range request 测试场景

    在视频点播的业务应用场景中,用户使用了ffmpeg工具做视频实时转码用. 而ffmpeg使用range 请求.而Cosbench不支持这种测试场景,所以需要修改源码支持这种测试场景. HTTP 协议介 ...

  5. Windows7 64位环境6sv2.1大气传输模型修改源码添加国产高分卫星GF-1 GF-2光谱响应支持

    下面开始添加国产卫星光谱响应的支持: 以下主要参考文章“6S大气传输模型修改源码添加.自定义卫星光谱响应(以HJ-1B CCD为例)”网址:http://blog.csdn.net/sam92/art ...

  6. 修改json源码支持datetime序列化

    修改json源码支持datetime序列化 import json import datetime now = datetime.datetime.today() json.dumps(now) 抛出 ...

  7. Java并发系列[5]----ReentrantLock源码分析

    在Java5.0之前,协调对共享对象的访问可以使用的机制只有synchronized和volatile.我们知道synchronized关键字实现了内置锁,而volatile关键字保证了多线程的内存可 ...

  8. Mybatis 系列7-结合源码解析核心CRUD 配置及用法

    [Mybatis 系列10-结合源码解析mybatis 执行流程] [Mybatis 系列9-强大的动态sql 语句] [Mybatis 系列8-结合源码解析select.resultMap的用法] ...

  9. 死磕 java同步系列之Phaser源码解析

    问题 (1)Phaser是什么? (2)Phaser具有哪些特性? (3)Phaser相对于CyclicBarrier和CountDownLatch的优势? 简介 Phaser,翻译为阶段,它适用于这 ...

  10. 死磕 java同步系列之StampedLock源码解析

    问题 (1)StampedLock是什么? (2)StampedLock具有什么特性? (3)StampedLock是否支持可重入? (4)StampedLock与ReentrantReadWrite ...

随机推荐

  1. constexpr和const

    const表示一个变量的值不能改变,这个值可以使运行期间得到的const int sz = get_size(); constexpr是提示编译器,该值可以在编译期间就计算出来,并进行替换,不用等到运 ...

  2. python实现自动打卡

    自己也百度了一下,然后写的,分为了三个部分,见三段代码 代码:主程序代码 import timefrom selenium import webdriverfrom private_info impo ...

  3. css如何将content、background、background-image生成的背景进行翻转

    方法 transform: scaleX(-1); 本例是水平翻转180度,方向可修改X为Y/Z. 注意如果是content,需要设置display: inline-block/block;

  4. oracle 存储过程-动态行转列,解决。

    包头 create or replace package pro_test as TYPE out_cursor IS REF CURSOR; procedure Alarm_ContentsByTi ...

  5. git拉取本地或者分支

    拉取本地 git clone 拉取的仓库地址 新建一个文件夹,然后右键 拉取分支到本地 也是新建一个文件夹右键点击 Git Bash Here 然后输入 git clone -b 分支名称 分支地址 ...

  6. holiday04

    第四天 查看文件内容 命令 英文 作用 cat 文件名 concatenate 查看.创建.合并.追加文件等功能 more 文件名 more 分屏显示文件内容 grep 搜索文本 文件名 grep 搜 ...

  7. vue的易错点合集

    关于vue的操作,可以借鉴到一些Ajax的方法和思路,但是因为语法的不一样,所以易错点多在语法. 第一步要引用相对的方法 div的id名称应该与下文的el名称一致 挂载方法created,相当于aja ...

  8. Idea 配置 tomacat

    步骤 1.点击settings 2.创建tomcat 并找到tomcat的目录 添加完成 3.创建Idea项目

  9. Unity鼠标点选RenderTexture里渲染的3D模型

    公司的产品有个功能:在主相机之外,另有一个摄像机来渲染不同的3D模型,然后把摄像机的RenderTexture赋值给一个 rawImage.texture,作为2D的UGUI来显示.(应用场景:模型结 ...

  10. 进入容器后不显示id

    https://www.656463.com/wenda/dockerexejrrqbxsrqID_493 net=host的原因