配置Thrift网关以代表客户端进行身份验证介绍了如何配置Thrift网关以代表客户端对HBase进行身份验证,以及如何使用代理用户访问HBase。这种方法的局限性在于,客户端使用特定的凭证集进行初始化后,在会话期间它不能更改这些凭证。但是,doAs功能提供了一种灵活的方法,可以使用相同客户端模拟多个主体。此功能在Thrift 1的HBASE-12640中属性,但目前不适用于Thrift 2。
要启用该doAs功能,请将以下内容添加到每个Thrift网关的hbase-site.xml文件中:
<code><
property
><
name
>hbase.regionserver.thrift.httpname
><
value
>truevalue
>property
><
property
><
name
>hbase.thrift.support.proxyusername
><
value
>true/value>property
>/<code>
要在使用doAs模拟时允许代理用户,请将以下内容添加到每个HBase节点的hbase-site.xml文件中:
<code><
property
><
name
>hadoop.security.authorizationname
><
value
>truevalue
>property
><
property
><
name
>hadoop.proxyuser.$USER.groupsname
><
value
>$GROUPSvalue
>property
><
property
><
name
>hadoop.proxyuser.$USER.hostsname
><
value
>$GROUPSvalue
>property
>/<code>
查看演示客户端, 以获得有关如何在客户端使用此功能的总体思路。