1，背景

專案中需要對大資料平臺進行資料許可權管理，涉及到資料訪問的認證和鑑權。大資料平臺中有三個資料訪問的入口：HUE，impala-shell和beeline（for hive）。每種入口都必須提供使用者名稱和密碼，並且，根據使用者所在的角色，能訪問的資料庫和表是各不相同的。

在專案中採用了LDAP來作為使用者的認證機制，使用Sentry來對使用者進行資料許可權的管理。

整個大資料的運維採用了Cloudera Manager的5.8.0的版本，本文也是基於CM5.8.0來介紹的。

2，LDAP認證實現

由於專案的需求是對HUE，impala-shell和beeline都要進行訪問認證，所以需要分別在HUE，Impala和Hive中分別實現LDAP的整合。但不管那個系統與LDAP的整合，不外乎都要配置三個基本的屬性：1）告訴系統我要與LDAP整合。2） LDAP伺服器的地址。3）LDAP的baseDN。

本文假定LDAP已經成功安裝，LDAP打安裝和配置網上可以參考的文章很多。

2.1，LDAP和Hive的整合。

完成上面的配置後重新啟動Hive，配置就生效了，次數如果通過beeline來連結hive，就需要提供使用者名稱和密碼了。例如：

beeline -u "jdbc:hive2://ddw-test-1:10000" -n hive -p hive -d org.apache.hive.jdbc.HiveDriver

如果沒有提供使用者名稱和密碼，或者使用者名稱密碼不匹配，就會報錯，如下圖

2.2，LDAP與Impala的整合

LDAP和Impala的整合與和Hive的整合非常的類似，除了Hive中提到的3個配置項之外，還需要多配一個配置項（如下圖），以告訴Impala密碼可以通過明文來傳播（如果你的環境中沒有配置TSL並且又沒有設定這個配置，impala將無法正常啟動）

完成上述配置並重啟Impala使配置生效，此時用impala  去訪問就需要輸入密碼了，如下圖所示：

2.3 LDAP和HUE的整合

LDAP和HUE的整合依然必須包含那三個關鍵的要素：告訴HUE要啟動LDAP認證，LDAP的Server地址以及baseDN

#告訴Hue使用LDAP來做認證 backend=desktop.auth.backend.LdapBackend
#LDAP伺服器的地址 ldap_url=ldap://ddw-test-5
# ldap登陸使用者的模板，username執行時被替換 ldap_username_pattern="uid=<username>,ou=people,dc=javachen,dc=com"

#其他snippet，Hue登入時，需要使用一個預設的使用者名稱和密碼去連線hive/impala，連線成功之後，當真正執行QL的時候，還使用登入時的賬號來做鑑權。 [impala] server_host=ddw-test-5 server_interface=hiveserver2 server_port=21050 query_timeout_s=100 impersonation_enabled=True auth_username=hue auth_password=hue [beeswax] close_queries=True use_sasl=False auth_username=hue auth_password=hue

至此，LDAP和HUE，Impala，Hive的整合就完成了。使用者訪問HUE，Impala以及Hive都需要提供使用者名稱和密碼了。

整合的過程也遇到了各種問題，但沒有任何問題是檢視錯誤日誌和google不能解決的。