1、背景

在我们开发的过程中有这么一种场景, /projectA 目录是 hadoopdeploy用户创建的,他对这个目录有wrx权限,同时这个目录属于supergroup,在这个组中的用户也具有这个目录的wrx权限,对于其他人,不可访问这个目录。现在有这么一个特殊的用户root我想root用户可以访问这个目录,在不修改root用户组和其他人的权限的情况下,还有什么方式可以实现这个功能呢?



由上图可以,root用户想访问/projectA目录,在hdfs中可以通过acl来实现。

2、环境准备

# 创建目录

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -mkdir /projectA

# 列出根目录下的文件夹

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -ls /

Found 1 items

drwxr-xr-x   - hadoopdeploy supergroup          0 2023-05-24 20:35 /projectA

# 将 /projectA 目录的权限修改成 770, 即其他人没有这个目录的访问权限

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -chmod 770 /projectA

# 再次查看发现修改成功

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -ls /

Found 1 items

drwxrwx---   - hadoopdeploy supergroup          0 2023-05-24 20:35 /projectA

[hadoopdeploy@hadoop01 ~]$



从上述代码中可知,我们创建了一个/projecetA的目录,且给这个目录的权限为770,那么其他人 对这个目录应该是没有访问权限的。 通过上述图片可知,我们用root用户上传文件,发现没有权限。

3、开启acl权限

3.1 修改hdfs-site.xml

<!-- 开启acl访问控制权限,默认就开启了 -->

<property>

    <name>dfs.namenode.acls.enabled</name>

    <value>true</value>

</property>



注意: 在低版本的hadoop上默认是禁用的,高版本默认是开启的。

3.2 重启hdfs集群

[hadoopdeploy@hadoop01 ~]$ stop-dfs.sh

Stopping namenodes on [hadoop01]

Stopping datanodes

Stopping secondary namenodes [hadoop03]

[hadoopdeploy@hadoop01 ~]$ start-dfs.sh

Starting namenodes on [hadoop01]

Starting datanodes

Starting secondary namenodes [hadoop03]

[hadoopdeploy@hadoop03 ~]$

3.3 使用acl给root用户授权

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -setfacl -m user:root:rwx /projectA

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -getfacl /projectA

# file: /projectA

# owner: hadoopdeploy

# group: supergroup

user::rwx

user:root:rwx

group::rwx

mask::rwx

other::---

[hadoopdeploy@hadoop01 ~]$

3.4 使用 root 用户测试文件上传

[root@hadoop01 ~]# hdfs dfs -put anaconda-ks.cfg /projectA

[root@hadoop01 ~]# hdfs dfs -ls /projectA

Found 1 items

-rw-r--r--   2 root supergroup       1151 2023-05-24 21:10 /projectA/anaconda-ks.cfg

[root@hadoop01 ~]#

可以看到文件上传成功了。

4、acl的一些简单命令



hdfs dfs -setfacl -m user:root:rwx /projectAroot用户设置

hdfs dfs -setfacl -m group:root:rwx /projectAroot组设置

4.1 设置acl

hdfs dfs -setfacl -m user:root:rwx /projectA

/projectA这个目录授予root用户rwx权限。

4.2 查看acl

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -getfacl /projectA

# file: /projectA

# owner: hadoopdeploy

# group: supergroup

user::rwx

user:root:rwx

group::rwx

mask::rwx

other::---

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -ls /

Found 1 items

drwxrwx---+  - hadoopdeploy supergroup          0 2023-05-24 21:10 /projectA

[hadoopdeploy@hadoop01 ~]$

drwxrwx---+ 这个+表示有acl权限

4.3 移除某个用户的acl

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -setfacl -x user:root /projectA

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -getfacl /projectA

# file: /projectA

# owner: hadoopdeploy

# group: supergroup

user::rwx

group::rwx

mask::rwx

other::---

[hadoopdeploy@hadoop01 ~]$

4.4 删除该目录所有的acl权限

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -setfacl -b /projectA

[hadoopdeploy@hadoop01 ~]$ hdfs dfs -getfacl /projectA

# file: /projectA

# owner: hadoopdeploy

# group: supergroup

user::rwx

group::rwx

other::---

[hadoopdeploy@hadoop01 ~]$

5、参考链接

1、https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/FileSystemShell.html#setfacl

hdfs中acl权限管理的简单实用的更多相关文章

  1. ThinkPHP中RBAC权限管理的简单应用

    RBAC英文全称(Role-Based Access Controller)即基于角色的权限访问控制,简单来讲,一个用户可以拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色-权限”的授 ...

  2. <实训|第十三天>linux中ACL权限控制以及磁盘配额,附编译属于自己的linux内核

    [root@localhost~]#序言 首先讲讲昨天关于缩容失败,开不机的解决方法:ACL权限也算是一个很重要的知识点,不难,但是很实用:磁盘配额一般不需要自己弄,但是要懂得原理.剩下的就是编译属于 ...

  3. Linux UGO和ACL权限管理

    自主访问控制(Discretionary Access Control, DAC)是指对象(比如程序.文件.进程)的拥有者可以任意修改或者授予此对象相应的权限.Linux的UGO(User, Grou ...

  4. JOffice中的权限管理--功能粒度的权限管理配置

    JOffice中的权限管理是基于角色的管理策略,采用Spring Security2的配置方式,同时能够结合EXT3来进行整个系统的权限管理,通过使用配置文件,进行整个系统的功能集中管理,包括系统左边 ...

  5. 用最基本的EF+MVC+JQ+AJAX+bootstrap实现权限管理的简单实例 之登陆和操作权限

    先来一堆关于上篇文章的废话(不喜者点此隐藏) 今天把博客加了个小功能,就是点标题可以隐藏或展示相关内容,做法很傻,就是引用了bootstrap的两个css类和全部的js文件,其实这样的小功能完全应该自 ...

  6. 【源码笔记】BlogEngine.Net 中的权限管理

    BlogEngine.Net 是个功能点很全面的开源博客系统,容易安装和实现定制,开放接口支持TrackBack,可以定义主题配置数据源等等.可谓五脏俱全,这里先记录一下它基于Membership的权 ...

  7. 多项目中SVN权限管理精辟解析

    本节和大家讨论一下多项目SVN权限管理,主要包括建立版本库,修改版本库配置文件,配置允许访问的用户,设置用户访问权限.下面我们就来看一下SVN权限管理.svn权限管理svn的权限管理涉及到一下文件:p ...

  8. java中通用权限管理设计(转)

    原文地址:http://www.cnblogs.com/a7345678/archive/2008/09/25/1298838.html 转自博客园暗夜精灵-鬼才阁 实现业务系统中的用户权限管理 B/ ...

  9. Docker容器中用户权限管理

    在Linux系统中有一部分知识非常重要,就是关于权限的管理控制:Linux系统的权限管理是由uid和gid负责,Linux系统会检查创建进程的uid和gid,以确定它是否有足够的权限修改文件,而非是通 ...

  10. mvc5权限管理(简单登录):ActionFilterAttribute

    效果图: 1.控制器 public ActionResult Index() { return View(); } [HttpPost] public ActionResult Index(User ...

随机推荐

  1. 一文总结 C++ 常量表达式、constexpr 和 const

    TLDR 修饰变量的时候,可以把 constexpr 对象当作加强版的 const 对象:const 对象表明值不会改变,但不一定能够在编译期取得结果:constexpr 对象不仅值不会改变,而且保证 ...

  2. 复习一下JVM内存结构

    一.程序计数器 程序计数器内存很小,可以看作是当前线程所执行字节码的行号指示器. 有了它,程序就能被正确的执行. 因为有线程切换的存在,则每个线程必须有各自独立的程序计数器,即线程私有的内存. 这里再 ...

  3. 《.NET物联网从零开始系列》-开篇

    近日搞硬件网关时,那些残存的数电.模电和通信原理的记忆时常在脑海中萦绕: 想起来多年前看张高兴的博客学会了.netcore+树莓派进行物联网开发. 使用dragonboard(龙板)搭载windows ...

  4. win32 - 使用VerQueryValue获得应用程序的名称

    比如: Google Chrome: 类似于任务管理器中显示名字,见下图 那么我们就需要使用VerQueryValue, 从指定的版本信息资源中检索指定的版本信息.若要检索适当的资源,在调用VerQu ...

  5. 3D环饼图

    // <div class="AnalysisAccCom">         <first-title title="分析对象统计"> ...

  6. deque双端队列

    # 支持从任意一端增加和删除元素 d = collections.deque() d.extend('abcdefg') d.append('h') d.extendleft(range(6)) # ...

  7. 【LeetCode链表#6】移除链表元素

    移除链表元素 题目 力扣题目链接(opens new window) 题意:删除链表中等于给定值 val 的所有节点. 示例 1: 输入:head = [1,2,6,3,4,5,6], val = 6 ...

  8. DataGear数据可视化分析平台介绍

    DataGear 是一款开源免费的数据可视化分析平台,自由制作任何您想要的数据看板,支持接入SQL.CSV.Excel.HTTP接口.JSON等多种数据源. 系统特点: 友好的数据源接入 支持运行时接 ...

  9. 【Azure Redis 缓存】遇见Azure Redis不能创建成功的问题:至少一个资源部署操作失败,因为 Microsoft.Cache 资源提供程序未注册。

    问题描述 在中国区微软云上创建Redis失败.收到的错误消息为: { "code": "DeploymentFailed", "message&quo ...

  10. 【Azure 应用服务】Web.config中设置域名访问限制,IP地址限制访问特定的页面资源 (Rewrite)

    问题描述 问题一:web app已经绑定了域名,例如是www.a.com,现在只允许使用www.a.com 访问,如果使用默认的域名xxxx.chinacloundsites.cn访问的时候,需要显示 ...