[发明专利]一种面向大数据集群的访问权限管理方法及系统

权利要求书

1.一种面向大数据集群的访问权限管理方法，其特征在于，所述面向大数据集群的访问权限管理方法包括：

安装在大数据集群所属机器上的用户信息同步组件定期将用户及用户组信息发送至访问权限管理系统；

权限管理系统针对每种大数据集群自定义相应的权限策略，将读、写、查、执行各种权限赋予相应的用户或用户组；

安装在大数据集群上的权限控制插件自动同步对应的权限策略；

权限控制插件在用户访问大数据集群时对大数据集群进行鉴权，根据已定义的权限策略进行控制用户的访问权限。

2.如权利要求1所述的面向大数据集群的访问权限管理方法，其特征在于，所述面向大数据集群的访问权限管理方法具体包括：

步骤一：提供访问权限管理系统，提供一个可供操作的管理界面，并提供一个完整的RESTful API用于同步组件和各插件的访问；

步骤二：系统提供用户信息同步组件，并安装在各台需要控制的主机上，用户信息同步组件将获取各主机的用户和用户组信息，并上报给管理服务器，以应用于后续的权限策略定义；

步骤三：将权限控制插件安装至大数据集群相关节点中，大数据各集群在权限控制接口的逻辑嵌入至各集群的执行流程中；

步骤四：判断用户是否有对应的访问权限。

3.如权利要求2所述的面向大数据集群的访问权限管理方法，其特征在于，步骤四具体包括：

第一步：登录管理系统操作界面，在用户管理模块查看和管理从各主机同步过来的用户和用户组信息；

第二步：通过操作界面建立与大数据各集群相对应的服务，在服务管理页中编辑各种安全策略，所述安全策略保存在数据库中，然后权限控制插件定时通过RESTful API获取最新的策略，并保存至插件安装的主机文件系统中；一条安全策略包含访问的资源及其访问条件；

第三步：访问的资源取决于各大数据集群类型；包括HDFS为路径，HBase为库、表、字段，Kafka为Topic；

第四步：访问条件包含用户、用户组、权限类型；其中用户及用户组来源于第一步；权限类型取决于各大数据集群类型，HDFS集群提供的权限为读、写、执行，HBase集群提供的权限为读、写、创建、管理员；

第五步：访问条件分为允许条件、允许例外条件、拒绝条件、拒绝例外条件；用户请求某个大数据集群，权限插件将查找匹配的权限策略，并遍历这些策略，以统一的判断流程执行，最终判断用户是否有对应的访问权限。

4.如权利要求3所述的面向大数据集群的访问权限管理方法，其特征在于，

第五步具体包括：

步骤a：判断是否匹配拒绝条件，若用户的访问行为在已定义的拒绝条件中的，则进入步骤b，反之，则进入步骤c；

步骤b：判断是否匹配拒绝例外条件，若用户的访问行为是在已定义的拒绝例外条件中的，则进入步骤c，反之，则拒绝用户访问；

步骤c：判断是否匹配允许条件，若用户的访问行为是在已定义的允许条件中的，则进入步骤d，反之，则拒绝用户访问；

步骤d：判断是否匹配允许例外条件，若用户的访问行为是在已定义的允许例外条件中的，则拒绝用户访问，反之，则允许用户访问。

5.一种实现权利要求1～4任意一项所述面向大数据集群的访问权限管理方法的计算机程序。

6.一种实现权利要求1～4任意一项所述面向大数据集群的访问权限管理方法的信息数据处理终端。

7.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-4任意一项所述的面向大数据集群的访问权限管理方法。