hdfs的acl权限控制

ACL(Access Control Lists ，访问控制列表)，Hadoop中的acl与unix中的acl机制（posix模型）基本相同，可以为文件或目录提供更精细化的权限访问控制。

对于每个文件或目录而言，权限管理分为3个不同的用户类：owner，group和others。每个用户类有3种不同的访问权限：read，write，execute。

当一个用户试图访问一个文件系统对象时，hdfs会根据该用户所对应的权限进行验证：如果该用户是其所有者（owner），那么hdfs将检查owner类权限；如果用户不是所有者，而是group组的成员，那么hdfs将检查group组类权限；否则，hdfs会检查other其他类权限。

Hadoop确定用户身份方式

级别一：在Kerberos模式下，客户端进程身份由kerberos凭据确定。用户通过kinit工具得到（ticket-granting-ticket）TGT，且使用klist确定当前的principal。比如通过kinit -kt a.keytab[email protected]，将映射该principal到HDFS的用户a。

级别二：当集群未启用kerberos时，客户端进程的身份只要在Active NameNode上通过了HDFS上相关文件与目录的权限验证即可。

级别三：当客户端进程的身份不存在于hdfs上时，由操作系统确定。

这种安全模型足以满足大量的安全需求。但当新的需求到来、业务复杂度提升时，需要将hdfs文件资源进行更细粒度的分配，简单的posix模型已无法满足。

Hdfs ACLs能够为特定用户名或组指定更细粒度的文件权限，而不仅仅是文件的所有者和组。

要使用acls，首先需要在namenode上启用acls。操作步骤：

1、CM界面中修改hdfs参数:dfs.namenode.acls.enabled 为 enable。

2、重启HDFS服务。

否则，会报错如下：

hdfs的acl权限控制