HBase的用户机制和Hadoop的用户机制是一样的。但对刚接触的人来说,相当的隐蔽,启动HBase不用设置用户名、密码,连接HBase也不需要设置用户名、密码。但HBase(实质上是Hadoop)提供了默认的用户来执行操作。
-
超级用户
如果没有特意配置,那么HBase会选择启动HBase的系统用户作为超级用户。如果需要改变超级用户,可通过修改hbase-site.xml来配置,加入hbase.superuser。
<property>
<name>hbase.superuser</name>
<value>admin</value>
</property>
-
默认用户
默认用户也类似,在没有特意配置时,HBase会选择当前的系统用户作为HBase的用户,改变默认用户隐藏的比较深,我们从代码来看。
分析源码
在创建Connection时,会判断是否已经创建了用户,如果没有,会调用LoginContext的login()方法来创建。中间的调用就直接跳过了,想详细看的可以参照以下堆栈信息。
在login方法中,按顺序反射调用了LOGIN_METHOD(login())和COMMIT_METHOD(commit()),中间啰嗦的代码就...跳过了,抓住重点看:
public void login() throws LoginException {
...
try {
// 分别反射调用了login和commit方法
invokePriv(LOGIN_METHOD);
invokePriv(COMMIT_METHOD);
...
} catch (LoginException le) {
...
}
}
invokePriv方法是invoke方法的带权限执行,主要看invoke方法。在invoke方法中,遍历module stack中的元素,对里面的每个元素反射执行login和commit方法。Module Stack中有两个元素,UnixLoginModule和UserGroupInformation$HadoopLoginModule。实际执行的顺序就是:
- UnixLoginModule#login
- UserGroupInformation$HadoopLoginModule#login
- UnixLoginModule#commit
- UserGroupInformation$HadoopLoginModule#commit
private void invoke(String methodName) throws LoginException {
for (int i = moduleIndex; i < moduleStack.length; i++, moduleIndex++) {
try {
int mIndex = 0;
Method[] methods = null;
// 获取login module的methods
if (moduleStack[i].module != null) {
methods = moduleStack[i].module.getClass().getMethods();
} else {
// 如果login module还没创建,就反射创建一个,再获取login module的methods
...
}
// 遍历找到对应的方法
for (mIndex = 0; mIndex < methods.length; mIndex++) {
if (methods[mIndex].getName().equals(methodName)) {
break;
}
}
// 主要就是这里,反射调用了方法名为方法参数methodName的无参方法
Object[] args = { };
boolean status = ((Boolean)methods[mIndex].invoke
(moduleStack[i].module, args)).booleanValue();
if (status == true) {
// 成功后的处理
...
} else {
// 失败了的处理
...
}
} catch (Exception e) {
// 各种Exception处理
...
}
}
// 收尾工作,处理Error,清空状态
...
}
- UnixLoginModule的login方法从系统中获取到了用户的登录信息
public boolean login() throws LoginException {
...
ss = new UnixSystem();
if (ss == null) {
...
} else {
userPrincipal = new UnixPrincipal(ss.getUsername());
...
return true;
}
}
- UserGroupInformation$HadoopLoginModule的login是空方法,只return了true
public boolean login() throws LoginException {
if(UserGroupInformation.LOG.isDebugEnabled()) {
UserGroupInformation.LOG.debug("hadoop login");
}
return true;
}
- UnixLoginModule的commit方法把获取到的登录信息写到了subject里
public boolean commit() throws LoginException {
if (succeeded == false) {
...
return false;
} else {
if (subject.isReadOnly()) {
throw new LoginException
("commit Failed: Subject is Readonly");
}
// 把用户名塞进subject
if (!subject.getPrincipals().contains(userPrincipal))
subject.getPrincipals().add(userPrincipal);
// 把其他参数塞进subject
...
commitSucceeded = true;
return true;
}
}
写完之后subject里是这样的,多了用户和组的信息。
- UserGroupInformation$HadoopLoginModule的commit方法,分3种情况来获取用户。有KERBEROS,取KERBEROS的用户信息;有HADOOP_USER_NAME,取HADOOP_USER_NAME的用户信息;都没有,就取Unix/Linux系统的用户信息,就是第3步commit到subject中的用户信息。
public boolean commit() throws LoginException {
if(!this.subject.getPrincipals(User.class).isEmpty()) {
return true;
} else {
Principal user = null;
// 如果启用了KERBEROS
if(UserGroupInformation.isAuthenticationMethodEnabled(
UserGroupInformation.AuthenticationMethod.KERBEROS)) {
user = this.getCanonicalUser(KerberosPrincipal.class);
}
if(!UserGroupInformation.isSecurityEnabled() && user == null) {
// 从系统环境变量里找HADOOP_USER_NAME
String envUser = System.getenv("HADOOP_USER_NAME");
if(envUser == null) {
// 从Java变量里找HADOOP_USER_NAME
envUser = System.getProperty("HADOOP_USER_NAME");
}
user = envUser == null?null:new User(envUser);
}
// 实在找不到了,就用系统的用户信息
if(user == null) {
user = this.getCanonicalUser(UserGroupInformation.OS_PRINCIPAL_CLASS);
...
}
// 把User实例塞进subject
if(user != null) {
this.subject.getPrincipals().add(new User(((Principal)user).getName()));
return true;
} else {
...
}
}
}
Commit执行完以后,User实例就创建完成了,可以看到User实例中只有name。
修改用户
知道了HBase是如何获取用户信息的,就可以相应的改变用户了。
根据UserGroupInformation$HadoopLoginModule的commit中获取用户的3种方法,就可分3种情况修改用户:
KERBEROS
改变KERBEROS用户(运维比较复杂,不在考虑范围)。系统用户
通过切换操作系统的用户来完成。-
HADOOP_USER_NAME
通过设置System环境变量改变用户,需要重启进程才会生效。export HADOOP_USER_NAME=admin通过设置System Properties改变用户,需要在Connection创建之前设置,这里的System指的是JavaVM。
System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
举例来说,masa用户是没有权限的,admin用户是有权限的。使用默认用户masa访问集群,执行这段代码时,抛出了Exception,原因是没有权限。
Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);
Exception in thread "main" org.apache.hadoop.hbase.security.AccessDeniedException: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions for user ‘masa',action: scannerOpen, tableName:liehutest, family:f.
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:525)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:919)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:854)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1284)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$RegionOperation.call(RegionCoprocessorHost.java:1673)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperation(RegionCoprocessorHost.java:1748)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperationWithResult(RegionCoprocessorHost.java:1722)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.preScannerOpen(RegionCoprocessorHost.java:1279)
at org.apache.hadoop.hbase.regionserver.RSRpcServices.scan(RSRpcServices.java:2252)
at org.apache.hadoop.hbase.protobuf.generated.ClientProtos$ClientService$2.callBlockingMethod(ClientProtos.java:32205)
at org.apache.hadoop.hbase.ipc.RpcServer.call(RpcServer.java:2114)
at org.apache.hadoop.hbase.ipc.CallRunner.run(CallRunner.java:101)
at org.apache.hadoop.hbase.ipc.RpcExecutor.consumerLoop(RpcExecutor.java:130)
at org.apache.hadoop.hbase.ipc.RpcExecutor$1.run(RpcExecutor.java:107)
at java.lang.Thread.run(Thread.java:745)
在任务执行之前设置用户名,就可以执行成功了。
System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);
get scanner org.apache.hadoop.hbase.client.ClientScanner@dd8ba08
Process finished with exit code 0
-END-
