cloudera ldap配置hive密码

🧙 Questions

cdh默认安装的hive，没有配置账号密码，导致用户可以随意访问hive的所有数据
使用ldap配置hive的账号密码
此方法只能防止jdbc访问hive数据，不能防止hdfs读取hive数据

☄️ Ideas

前提

• 离线安装docker

下载离线资源

邮箱找我要

docker pull --platform=linux/amd64 osixia/openldap:latest
docker save -o /Users/ispong/Downloads/openldap-latest-amd64.tar osixia/openldap:latest
scp /Users/ispong/Downloads/openldap-latest-amd64.tar root@39.100.91.105:/tmp
docker load -i /tmp/openldap-latest-amd64.tar

启动ldap

默认端口号389

# 创建ldap存储目录
mkdir -p /data/ldap

# docker启动ldap
docker run -it \
  --name isxcode-ldap \
  --restart always \
  -p 389:389 \
  -v /data/ldap/ldap:/var/lib/ldap \
  -v /data/ldap/slapd.d:/etc/ldap/slapd.d \
  --env LDAP_TLS=false \
  --env LDAP_ORGANISATION="isxcode" \
  --env LDAP_DOMAIN="isxcode.com" \
  --env LDAP_ADMIN_PASSWORD="123456" \
  --env LDAP_CONFIG_PASSWORD="123456" \
  osixia/openldap:latest

打开客户端

需要windows系统打开，邮箱找我要，新建连接

• ip: 39.100.91.105
• port: 389
• base: dc=isxcode,dc=com
• username: cn=admin,dc=isxcode,dc=com
• password: 123456

创建组织

创建OU： Group、User

创建用户

给用户设置密码

配置cdh的hive

搜索：ldap, 不使用ldaps,压制ldaps的waring提示
注意只有User用户组下的成员，可以访问hive数据库

• Enable LDAP Authentication: true
• hive.server2.authentication.ldap.url: ldap://39.100.91.105:389
• hive.server2.authentication.ldap.baseDN: ou=User,dc=isxcode,dc=com

测试访问Hive

此时密码错误报错:
Error: Could not open client transport with JDBC Uri: jdbc:hive2://192.168.168.116:30115/ispong_db;user=ispong;password=1234568: Peer indicated failure: Error validating the login (state=08S01,code=0)

beeline
!connect jdbc:hive2://192.168.168.116:30115/ispong_db;user=ispong;password=1234561

🔗 Links

• hadoop docs
• cdh hive config
• hive config auth