使用命令行创建collection时Sentry给Solr赋权的问题

温馨提示：要看高清无码套图，请使用手机打开并单击图片放大查看。​

Fayson的github：

​​https://github.com/fayson/cdhproject​​

提示：代码块部分可以左右滑动查看噢

1.故障描述

Fayson在前面的文章介绍过《​​如何使用Sentry为Solr赋权​​​》，但当时Fayson是在Hue中创建的collection，如果我们采用先创建schema的xml文件，然后通过命令行创建Solr的collection，使用Sentry赋权后，会出现权限不生效的情况。以下我们具体看看故障现象。我们依旧以《​​如何使用Sentry为Solr赋权​​》里的测试样例数据为例子，参考Hue中创建collection的方式来定义一个schema文件。

2.collection创建以及导入数据

1.首先准备一个8个字段的csv文件，一共10行，使用逗号分隔，用来导入Solr并实现全文索引。

注意：这个csv我们定义了文件头，一共8个字段，从field_1到field_8。

2.定义一个schema文件，一共8个字段，从field_1到field_8，其中field_1为主键。

<?xml version="1.0" encoding="UTF-8" ?>
<schema name="example" version="1.5">
<fields>
  <field name="field_1" type="string" indexed="true" stored="true" required="true" multiValued="false" />
  <field name="field_2" type="string" indexed="true" stored="true" />
  <field name="field_3" type="text_en" indexed="true" stored="true" />
  <field name="field_4" type="string" indexed="true" stored="true" />
  <field name="field_5" type="string" indexed="true" stored="true" />
  <field name="field_6" type="string" indexed="true" stored="true" />
  <field name="field_7" type="string" indexed="true" stored="true" />
  <field name="field_8" type="string" indexed="true" stored="true" />
<field name="_version_" type="long" indexed="true" stored="true"/>
</fields>
<uniqueKey>field_1</uniqueKey>
<types>
<!-- The StrField type is not analyzed, but indexed/stored verbatim.
               It supports doc values but in that case the field needs to be
     single-valued and either required or have a default value.
     -->
<fieldType name="string" class="solr.StrField" sortMissingLast="true"/>
<!--
               Default numeric field types. For faster range queries, consider the tint/tfloat/tlong/tdouble types.
These fields support doc values, but they require the field to be
single-valued and either be required or have a default value.
-->
<fieldType name="int" class="solr.TrieIntField" precisionStep="0" positionIncrementGap="0"/>
<fieldType name="float" class="solr.TrieFloatField" precisionStep="0" positionIncrementGap="0"/>
<fieldType name="long" class="solr.TrieLongField" precisionStep="0" positionIncrementGap="0"/>
<fieldType name="double" class="solr.TrieDoubleField" precisionStep="0" positionIncrementGap="0"/>
<fieldType name="text_en" class="solr.TextField" positionIncrementGap="100" /> 
</types>
</schema>

（可左右滑动）

3.准备创建collection的脚本，并创建collection

#!/bin/sh
ZK="cdh01.fayson.com"
COLLECTION="collection1"
BASE=`pwd`
SHARD=3
REPLICA=1
echo "create solr collection"
rm -rf tmp/*
solrctl --zk $ZK:2181/solr instancedir --generate tmp/${COLLECTION}_configs
cp conf/schema.xml tmp/${COLLECTION}_configs/conf/
solrctl --zk $ZK:2181/solr instancedir --create $COLLECTION tmp/${COLLECTION}_configs
solrctl --zk $ZK:2181/solr collection --create $COLLECTION -s $SHARD -r $REPLICA
solrctl --zk $ZK:2181/solr collection --list

（可左右滑动）

注意：因为我们开启了Sentry，在创建collection的时候我们使用的是solr用户的principle。否则是没有权限创建collection的。这里跟在Hive/Impala中使用Sentry时，使用hive作为管理员用户是相似的。

4.将准备好的csv文件导入到collection1.

curl --negotiate -u : 'http://cdh04.fayson.com:8983/solr/collection1/update/csv?commit=true' \
-H 'Content-Type: application/csv' \
--data-binary @/root/_fayson/data.csv

（可左右滑动）

5.查询collection1确认数据都已经导入成功。

curl --negotiate -u : "http://cdh04.fayson.com:8983/solr/collection1/query?q=*%3A*&wt=json&indent=true"

（可左右滑动）

3.故障重现

1.首先我们创建一个admin角色，并赋予所有权限，并对应到solr用户组。

solrctl sentry --create-role admin
solrctl sentry --add-role-group admin solr
solrctl sentry --grant-privilege admin 'collection=*->action=*'
solrctl sentry --grant-privilege admin 'config=*->action=*'
solrctl sentry --list-privileges admin

（可左右滑动）

注意：必须使用solr用户的principal。

2.我们在不给fayson用户组分配任何权限的情况下，使用fayson用户对collection1进行查询。

[root@cdh02 solr]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: fayson@FAYSON.COM
Valid starting       Expires              Service principal
06/13/2018 21:35:08  06/14/2018 21:35:08  krbtgt/FAYSON.COM@FAYSON.COM
        renew until 06/20/2018 21:35:08
06/13/2018 21:35:17  06/14/2018 21:35:08  HTTP/cdh04.fayson.com@FAYSON.COM
        renew until 06/18/2018 21:35:17
[root@cdh02 solr]# curl --negotiate -u : "http://cdh04.fayson.com:8983/solr/collection1/query?q=*%3A*&wt=json&indent=true"

（可左右滑动）

可以查询出collection中的数据，说明Sentry的权限控制没有生效，故障重现。

4.故障分析与解决

我们比较了Hue和CLI方式的solrconfig.xml文件，发现Hue的solrconfig.xml里面启用了Secure相关的配置，但是CLI方式下的却没有。Hue会自动识别到启用Sentry并修改solrconfig，但是通过Solr的命令行在创建collection的config文件时并不会自动启用Sentry的xml配置文件。所以如果想要通过命令行创建能够让Sentry支持的collection的话，我们需要手动指定collection的solrconfig文件。

注：查看collection的config文件的命令如下，将collection的config文件导出到/tmp/collection1目录

solrctl instancedir --get collection1 /tmp/collection1

（可左右滑动）

以下我们具体看看如何解决。

1.首先我们通过solr用户删掉之前创建的collection1

[root@cdh02 solr]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: fayson@FAYSON.COM
Valid starting       Expires              Service principal
06/13/2018 21:35:08  06/14/2018 21:35:08  krbtgt/FAYSON.COM@FAYSON.COM
        renew until 06/20/2018 21:35:08
06/13/2018 21:35:17  06/14/2018 21:35:08  HTTP/cdh04.fayson.com@FAYSON.COM
        renew until 06/18/2018 21:35:17
[root@cdh02 solr]# kinit solr/admin
Password for solr/admin@FAYSON.COM: 
[root@cdh02 solr]# solrctl collection --delete collection1
[root@cdh02 solr]# solrctl collection --list
[root@cdh02 solr]#

（可左右滑动）

2.修改创建collection的脚本，再次创建collection

#!/bin/sh
ZK="cdh01.fayson.com,cdh02.fayson.com,cdh03.fayson.com"
COLLECTION="collection2"
BASE=`pwd`
SHARD=3
REPLICA=1
echo "create solr collection"
rm -rf tmp/*
solrctl --zk $ZK:2181/solr instancedir --generate tmp/${COLLECTION}_configs
mv tmp/${COLLECTION}_configs/conf/solrconfig.xml tmp/${COLLECTION}_configs/conf/solrconfig.xml.bk
mv tmp/${COLLECTION}_configs/conf/solrconfig.xml.secure tmp/${COLLECTION}_configs/conf/solrconfig.xml
cp conf/schema.xml tmp/${COLLECTION}_configs/conf/
solrctl --zk $ZK:2181/solr instancedir --create $COLLECTION tmp/${COLLECTION}_configs
solrctl --zk $ZK:2181/solr collection --create $COLLECTION -s $SHARD -r $REPLICA
solrctl --zk $ZK:2181/solr collection --list

（可左右滑动）

注意红色框框部分我们使用solrconfig.xml.secure替换solrconfig.xml

运行该脚本建立collection

[root@cdh02 solr]# sh create_sentry.sh 
create solr collection
Uploading configs from tmp/collection2_configs/conf to cdh01.fayson.com,cdh02.fayson.com,cdh03.fayson.com:2181/solr. This may take up to a minute.
collection2 (2)

​（可左右滑动）

3.使用命令导入数据，依旧使用solr用户

root@cdh02 solr]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: solr/admin@FAYSON.COM
Valid starting       Expires              Service principal
06/13/2018 21:45:40  06/14/2018 21:45:40  krbtgt/FAYSON.COM@FAYSON.COM
        renew until 06/20/2018 21:45:40
06/13/2018 21:46:02  06/14/2018 21:45:40  HTTP/cdh02.fayson.com@FAYSON.COM
        renew until 06/18/2018 21:46:02
06/13/2018 21:52:16  06/14/2018 21:45:40  HTTP/cdh04.fayson.com@FAYSON.COM
        renew until 06/18/2018 21:52:16
[root@cdh02 solr]# curl --negotiate -u : 'http://cdh04.fayson.com:8983/solr/collection2/update/csv?commit=true' \
> -H 'Content-Type: application/csv' \
> --data-binary @/root/_fayson/data.csv
<?xml version="1.0" encoding="UTF-8"?>
<response>
<lst name="responseHeader"><int name="status">0</int><int name="QTime">284</int></lst>
</response>

（可左右滑动）

4.使用fayson用户登录Kerberos对collection2进行查询

[root@cdh02 solr]# kinit fayson
Password for fayson@FAYSON.COM: 
[root@cdh02 solr]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: fayson@FAYSON.COM
Valid starting       Expires              Service principal
06/13/2018 21:53:50  06/14/2018 21:53:50  krbtgt/FAYSON.COM@FAYSON.COM
        renew until 06/20/2018 21:53:50
[root@cdh02 solr]# curl --negotiate -u : "http://cdh04.fayson.com:8983/solr/collection2/query?q=*%3A*&wt=json&indent=true"

（可左右滑动）

查询失败，说明通过命令行创建的collection，在不通过Sentry分配权限的情况下，无法进行对collection查询。

5.通过solr用户重新创建一个fayson角色，并赋予所有collection的Update权限。注意需要使用solr用户登录Kerberos

solrctl sentry --create-role fayson
solrctl sentry --grant-privilege fayson 'collection=*->action=Update'
solrctl sentry --add-role-group fayson fayson
solrctl sentry --list-privileges fayson

（可左右滑动）

6.再次使用fayson用户登录Kerberos，再次对collection2进行查询。

[root@cdh02 solr]# kinit fayson
Password for fayson@FAYSON.COM: 
[root@cdh02 solr]# curl --negotiate -u : "http://cdh04.fayson.com:8983/solr/collection2/query?q=*%3A*&wt=json&indent=true"

（可左右滑动）

依旧查询失败，说明collection的update权限只能让用户组有创建或者更新collection的权限。

7.使用solr用户登录Kerberos，将fayson用户组的权限改为所有collection的查询权限。

[root@cdh02 solr]# kinit solr/admin
Password for solr/admin@FAYSON.COM: 
[root@cdh02 solr]# solrctl sentry --drop-role fayson
[root@cdh02 solr]# solrctl sentry --create-role fayson
[root@cdh02 solr]# solrctl sentry --grant-privilege fayson 'collection=*->action=Query'
[root@cdh02 solr]# solrctl sentry --add-role-group fayson fayson
[root@cdh02 solr]# solrctl sentry --list-privileges fayson

（可左右滑动）

8.再次使用fayson登录Kerberos并对collection2进行查询。

[root@cdh02 solr]# kinit fayson
Password for fayson@FAYSON.COM: 
[root@cdh02 solr]# curl --negotiate -u : "http://cdh04.fayson.com:8983/solr/collection2/query?q=*%3A*&wt=json&indent=true"

（可左右滑动）

查询成功，说明通过Sentry给fayson用户组分配的collection的query权限成功。

5.总结

如果在Hue中创建solr的collection，Hue会自动识别到启用Sentry并修改solrconfig，但是通过Solr的命令行在创建collection的config文件时并不会自动启用Sentry的xml配置文件。通过命令行在创建collection的时候，需要在通过solrctl instancedir –generate创建好config文件后，手动将solrconfig.xml.secure替换为solrconfig.xml，然后再创建collection。这是通过Sentry对该collection的赋权才能生效。

提示：代码块部分可以左右滑动查看噢

为天地立心，为生民立命，为往圣继绝学，为万世开太平。

温馨提示：要看高清无码套图，请使用手机打开并单击图片放大查看。

推荐关注Hadoop实操，第一时间，分享更多Hadoop干货，欢迎转发和分享。

原创文章，欢迎转载，转载请注明：转载自微信公众号Hadoop实操