用户体系

无论使用Hue自身的用户管理体系还是LDAP用户体系，Hue操作大数据组件使用的是Impersonation机制。用户实际操作时会被模拟为登录的用户。例如以hdfs登录Hue，Hue以hue用户运行，那么实际操作时，使用hue用户的认证方式认证，但使用的时候将hue用户模拟为hdfs。
这种方式要求Hadoop配置proxyuser，否则会出现User: xxx is not allowed to impersonate xxx错误。配置方式为修改HDFS的core-site.xml，增加：

<property>
  <name>hadoop.proxyuser.hue.hosts</name>
  <value>*</value>
</property>
<property>
  <name>hadoop.proxyuser.hue.groups</name>
  <value>*</value>
</property>

之后重启HDFS。

Hue服务本身的用户配置包含如下：

[desktop]  
  # Webserver runs as this user
  server_user=hue
  server_group=hue

  # This should be the Hue admin and proxy user
  default_user=hue

  # This should be the hadoop cluster admin
  default_hdfs_superuser=hdfs

• server_user和server_group配置web服务运行时的用户。
• default_user为Hue的后台服务启动用户。上述的Impersonation机制需要允许default_user模拟为用户实际登录Hue的用户。
• default_hdfs_superuser指定HDFS的管理员用户，即namenode启动的用户。

Hue的超级管理员用户可管理用户信息。Hue使用RBAC权限管理。我们以超级管理员用户登录Hue之后，可在顶部菜单右侧（Hue 4.3）或者左侧菜单栏下方（Hue 4.10+）找到Administer Users，进入用户管理页面。
在Users页面，可以添加和删除用户，指定用户所属的组和用户是否为超级管理员等。
Groups页面可以维护group和权限的对应关系。在组编辑页面中，权限选择位于最下方列表。

hue_group_permission.png

这些权限已按照Hue的连接的组件和Hue的页面模块分类，配置和使用较为方便。

认证后端

Hue支持多种认证后端。配置文件注释中列出的有：

    # - desktop.auth.backend.AllowFirstUserDjangoBackend
    #     (Default. Fist login becomes and admin, then relies on user accounts)
    # - django.contrib.auth.backends.ModelBackend (entirely Django backend)
    # - desktop.auth.backend.AllowAllBackend (allows everyone)
    # - desktop.auth.backend.LdapBackend
    # - desktop.auth.backend.PamBackend
    # - desktop.auth.backend.SpnegoDjangoBackend
    # - desktop.auth.backend.KnoxSpnegoDjangoBackend
    # - desktop.auth.backend.RemoteUserDjangoBackend
    # - libsaml.backend.SAML2Backend
    # - desktop.auth.backend.OIDCBackend (New oauth, support Twitter, Facebook, Google+ and Linkedin

其中常用的有如下4种：

• desktop.auth.backend.AllowFirstUserDjangoBackend：如果Hue中没有任何用户，第一个登录的用户自动注册，并成为管理员。此配置为Hue的默认值。
• django.contrib.auth.backends.ModelBackend：使用Django后端，不允许用户在登录页注册，即便是Hue没有任何用户。
• desktop.auth.backend.AllowAllBackend：不认证，任意用户都可以登录。
• desktop.auth.backend.LdapBackend：使用LDAP认证。无需在Hue的用户管理中维护用户信息。

用户管理

本节整理了Hue用户管理时常用的后台操作。

创建超级管理员

如果忘记了Hue超级管理员用户密码，或者是Hue中没有任何超级管理员用户的时候可使用此方式创建一个。需要登录Hue安装所在主机，然后执行：

/usr/lib/hue/build/env/bin/hue createsuperuser

接着按照向导操作，依次输入用户名，Email，密码和确认密码。

修改用户密码

忘记用户密码的时候我们可以使用hue命令的方式操作。前提是必须能够登录Hue所在的主机。
例如我们需要修改hive用户的密码，执行：

/usr/lib/hue/build/env/bin/hue changepassword hive
Changing password for user 'hive'
Password:
Password (again):
Password changed successfully for user 'hive'

然后按照向导，输入新密码和确认一遍新密码，hive用户的密码已修改完毕。

除此之外，我们还可通过hue shell强制修改密码。登录Hue所在的主机，执行。

/usr/lib/hue/build/env/bin/hue shell

进入Hue Python shell界面。例如我们忘记了hive用户的密码，需要将其修改为123456，继续执行如下脚本（使用过Django的同学会非常熟悉这些脚本）：

from django.contrib.auth.models import User
# 获取hive用户
user = User.objects.get(username='hive')
# 可查看原密码的hash值
user.password
user.set_password('123456')

# 检查密码是否已正确修改，非必须步骤
from django.contrib.auth.hashers import check_password
# 如果返回true，表示校验通过
check_password('123456', user.password)

# 保存修改。写回数据库
user.save()

提升用户为超级管理员

如果Hue中所有用户都不是超级管理员用户，这种情况我们无法通过Hue管理页面升级某用户为超级管理员。遇见这种情况我们并非束手无策，可以通过后台操作。
首先登录Hue元数据MySQL所在服务器，进入MySQL中Hue数据库（下面例子中Hue的元数据存储在hue数据库中，实际操作时根据具体环境修改）：

use hue
select * from auth_user;

执行上面的SQL列出所有的用户信息。找到需要升级为超级管理员的用户名或者用户id，然后执行：

update auth_user set is_superuser=1 where username='xxx'
-- 或者
update auth_user set is_superuser=1 where id=xxx

重新登录Hue即可完成修改。
此外还有一种方法，我们可以使用上述的Hue Shell方式修改。接下来仍以hive用户为例说明。进入Hue shell之后，依次执行：

from django.contrib.auth.models import User
# 获取hive用户
user = User.objects.get(username='hive')
# 设置当前用户为超级管理员
user.is_superuser = True

# 保存修改。写回数据库
user.save()

可将hive用户权限提升为超级管理员。