配置HetuEngine使用代理用户鉴权
适用于MRS 3.3.0及以后版本。
HetuEngine支持使用FusionInsight Manager用户认证时通过客户自有用户(代理用户)使用Ranger鉴权的能力。即在使用HetuEngine客户端时,通过--session-user来指定代理用户。
创建认证用户或代理用户请参考创建HetuEngine权限角色。
启用Ranger鉴权并为代理用户配置操作数据源的数据库、表、列的管理权限,具体操作请参考添加HetuEngine的Ranger访问权限策略。
- 集群已启用Kerberos认证(安全模式)
- 使用kinit指定认证用户(需为HetuEngine管理员用户,并额外添加supergroup用户组才能代理其他用户鉴权),如hetuadmin1。
kinit hetuadmin1
根据提示输入用户密码,首次登录需重置密码。
- 再使用--session-user指定代理用户,如user1。
hetu-cli --session-user user1
- 使用kinit指定认证用户(需为HetuEngine管理员用户,并额外添加supergroup用户组才能代理其他用户鉴权),如hetuadmin1。
- 集群未启用Kerberos认证(普通模式)
使用--user指定认证用户(需拥有hetuuser用户组才能代理其他用户鉴权),如user;使用--session-user指定代理用户,如user1。
hetu-cli --user user --session-user user1
该功能不适用于HiveMetastore数据源鉴权与多用户映射共存的场景。