HDFS ACL权限控制_hdfs acl default

默认umask是022，即目录是755，文件644

 

hdfs acl权限生效的算法规则

（1）如果是owner，则取owner的权限

（2）如果针对用户设置了ACL，则用户的ACL生效

（3）如果用户在组里，则取各组ACL的并集

（4）其他情况，取other的权限

（5）default权限：设置default之后，对新添加的文件和目录生效，对于现有的文件和目录不生效。

如：目录A拥有default:user:bruce:rwx权限，则在目录A下创建目录B，则目录B拥有user:bruce:rwx，default:user:bruce:rwx权限。

 

ACL条目

一个ACLs由一系列条目（entry）组成，下表列出了条目的类型及格式，共有六种类型的ACL条目。

 

mask作用

最大有效权限mask，mask项是一个特殊的项，用于过滤授予所有命名用户，命名组及未命名组的权限，即过滤除文件拥有者和其他用户(other)之外的任何ACL项。即自身权限与mask权限做相与运算，得到有效执行权限。

 

定义在owner、other里的权限一直都是有效的，其它权限可能用效或者被隐蔽。named user与named group的值是否生效，还要看其值与mask的“与”值，即mask也要有该权限，才能生效。mask是用于过滤named user与named group的权限的，可以通过chmod改变。

如：在给同组的其它用户，其它组的用户或组添加acl时，如果给的权限比当前mask大，则mask会随之更新：

 

 

 

hdfs acl shell命令

(1)、显示某个文件的权限

hdfs dfs -getfacl [-R]

如：hdfs dfs -getfacl /test/acl

 

(2)、赋予权限

hdfs dfs -setfacl [-R] -m

如：hdfs dfs -setfacl -R -m user:testUser:rw- /test/acl

 

(3)、删除权限

hdfs dfs -setfacl [-R] [-b|-k |-x ]|[–set ]

-x 删除指定的acl权限

-k 删除所有默认的权限

-b 删除所有的权限

 

延伸话题：

默认ACLs

前面讨论的ACL条目定义了文件/目录当前的访问权限，称为访问ACLs（access ACLs），另一种类型叫做默认ACLs（default ACL），它定义了当一个文件系统对象被创建时如何从父目录继承权限。只有目录可以被设置默认ACLs，默认ACLs不会用于权限检查，仅用于权限继承。

创建一个新的目录时，如果父目录设置了默认ACLs，则新目录会继承父目录的默认ACLs作为自己的访问ACLs，同时也作为自己的默认ACLs。新的文件则只会继承父目录的默认ACLs作为自己的访问ACLs。

从父目录默认ACLs继承来的权限并非最终的权限，由于在创建新的目录/文件时client一定会传给NameNode一个文件模式权限（见“传统的POSIX权限模型”一节说明3），两者的计算结果才是最终的权限。计算方式采用与运算，即取继承的ACLs中某类权限与模式权限中对应类别权限的交集。

 

概念学习网址：

http://blog.sina.com.cn/s/blog_1622ceba80102x516.html

 

cm开启ACL