更新时间:2024-07-24 GMT+08:00

配置HetuEngine使用代理用户鉴权

适用于MRS 3.3.0及以后版本。

HetuEngine支持使用FusionInsight Manager用户认证时通过客户自有用户(代理用户)使用Ranger鉴权的能力。即在使用HetuEngine客户端时,通过--session-user来指定代理用户。

创建认证用户或代理用户请参考创建HetuEngine权限角色

启用Ranger鉴权并为代理用户配置操作数据源的数据库、表、列的管理权限,具体操作请参考添加HetuEngine的Ranger访问权限策略

  • 集群已启用Kerberos认证(安全模式)
    1. 使用kinit指定认证用户(需为HetuEngine管理员用户,并额外添加supergroup用户组才能代理其他用户鉴权),如hetuadmin1

      kinit hetuadmin1

      根据提示输入用户密码,首次登录需重置密码。

    2. 再使用--session-user指定代理用户,如user1

      hetu-cli --session-user user1

  • 集群未启用Kerberos认证(普通模式)

    使用--user指定认证用户(需拥有hetuuser用户组才能代理其他用户鉴权),如user;使用--session-user指定代理用户,如user1

    hetu-cli --user user --session-user user1

该功能不适用于HiveMetastore数据源鉴权与多用户映射共存的场景。