简介
Hadoop从2.4.0版本开始支持hdfs的ACL
ACL(Access Control Lists)
基本命令操作:
hdfs dfs -getfacl [-R] 获取目录和文件的ACL 信息
hdfs dfs -setfacl [-R] [-b |-k -m |-x ] |[--set ] 设置文件和目录的ACL信息
hdfs dfs -ls 当ls的权限位输出以+结束时,那么该文件或目录正在启用一个ACL。
配置信息
机制和测试
hdfs 默认是开启文件访问权限的,按照rwx 来进行判断是否有读写执行权限。然后根据用户拥有者, 同组用户, 非同组用户 来进行权限管理
我们可以通过bash -c users 和 bash -c groups 获取用户 和 组
(1) 创建文件
echo "hell" > 1.txt
hadoop fs -mkdir /acl; hadoop fs -put 1.txt /acl
(2) 更改用户组 和 权限
创建文件和目录的时候默认组为supergroup, 文件夹的权限是755 ,文件的权限是644.
hadoop fs -chmod -R 750 /acl
hadoop fs -chown -R bfd_hz:bfd_hz /acl
(3) 用户拥有者,同组用户, 非同组用户测试。
用户和组的创建省略, 测试的过程中三个用户 bfd_hz baseline wenting , bfd_hz 和 wenting 是同组用户,
baseline 单独一个组, 文件的由bfd_hz 创建,权限如下:
(4) ACL让非同组的用户也能访问此文件
注意点:用户名和组 要和 hadoop 上面的组对应, 比如默认创建的文件组是supergroup,
如果不设置成bfd_hz, wenting此时操作文件也不能执行,user -c groups 是bfd_hz, 和 supergroup不相等。 此时就导致不属于同组用户
关于一个文件的组关系:如果根目录,没有继承来源,默认supergroup, 如果是子目录,继承父目录的组
其他话题-->hive 中创建表的时候权限和组问题:https://cwiki.apache.org/confluence/display/Hive/Permission+Inheritance+in+Hive
参考资料:https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-hdfs/HdfsPermissionsGuide.html
