Hi, 不好意思,我查了一下hive文档发现SQL standard authorization是在CLI/HS2端做的,那HiveCatalog目前没办法支持这种模式。HMS端可以用storage based authorization,也就是你说的通过HDFS的ACL来控制权限。这种模式对外表和内表都是有效的,但管理起来一般比较繁琐,需要人工去设置路径的ACL。
On Wed, Aug 26, 2020 at 11:08 AM faaron zheng <[email protected]> wrote: > Hi Rui,感谢你的分享。我简单试了一下开启SQL Standard > Authorization,没什么效果,不知道是我用的不对还是我们hive被定制过。此外,我发现在使用kerberos的情况下,可以通过hdfs的路径来控制权限,不过这种情况主要对外表比较有效。 > 在2020年08月25日 21:34,Rui Li 写道: Hi, > Authentication的话支持kerberos,应该正常做kinit就可以了。或者可以设置flink > security相关的参数,如security.kerberos.login.keytab和security.kerberos.login.principal。具体可以参考: > > https://ci.apache.org/projects/flink/flink-docs-release-1.11/ops/config.html#auth-with-external-systems > Authorization目前HiveCatalog这边没有做。如果你的HMS启用了authorization(比如hive自身的SQL > standard authorization),那验证的动作应该发生在HMS端,对HiveCatalog也是生效的。 On Tue, Aug 25, > 2020 at 4:48 PM xiaoyan hua <[email protected]> wrote: > > 我们当前用的是kerberos认证,需要额外配置什么么? xiaoyan hua 邮箱:[email protected] 签名由 > > 网易邮箱大师 定制 在2020年08月25日 15:54,faaron zheng 写道: Hi all, 我在使用flink > > sql-client链接hive metastore的时候,发现好像没有做任何权限控制,可以访问所有的表?这一块是没做么?有什么计划么? -- > Best regards! Rui Li -- Best regards! Rui Li
