【kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2(1)

最新推荐文章于 2024-06-30 00:41:44 发布
最新推荐文章于 2024-06-30 00:41:44 发布
阅读量500 收藏 10
点赞数 10
分类专栏: 程序员 文章标签: 大数据 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82241942/article/details/138875509
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

org.apache.hadoop.security.KerberosAuthException: failure to login: for principal: xxx@HADOOP.COM from keytab D:\xxx\xxx\xxx.keytab javax.security.auth.login.LoginException: null (68)
Caused by: javax.security.auth.login.LoginException: null (68)
Caused by: KrbException: null (68) 
Caused by: KrbException: Identifier doesn't match expected value (906)
2、hadoop conf信息配置

Hadoop configuration配置(类org.apache.hadoop.conf.Configuration
文档中明确了:会默认加载类路径下的core-default.xml文件内容。

Unless explicitly turned off, Hadoop by default specifies two resources, loaded in-order from the classpath:
core-default.xml: Read-only defaults for hadoop.
core-site.xml: Site-specific configuration for a given hadoop installation.

core-default.xml中含有hadoop的安全配置hadoop.security.authentication,在UserGroupInformation中依据此项配置,查询集群是否启动kerberos。
HADOOP_SECURITY_AUTHENTICATION路径如下:
org.apache.hadoop.fs.CommonConfigurationKeysPublic#HADOOP_SECURITY_AUTHENTICATION

  public static AuthenticationMethod getAuthenticationMethod(Configuration conf) {
    String value = conf.get(HADOOP\_SECURITY\_AUTHENTICATION, "simple");
    try {
      return Enum.valueOf(AuthenticationMethod.class,
          StringUtils.toUpperCase(value));
    } catch (IllegalArgumentException iae) {
      throw new IllegalArgumentException("Invalid attribute value for " +
          HADOOP\_SECURITY\_AUTHENTICATION + " of " + value);
    }
  }

所以如果在环境变量中配置了HADOOP_HOME或者HADOOP_CONF_DIR对于UserGroupInformation是没有用的。
必须将core-site.xml放在类路径下,或者直接调用org.apache.hadoop.security.UserGroupInformation#setConfiguration设置加载过core-site.xml的conf对象。

3、UserGroupInformation认证
3.1 、apache原生的UserGroupInformation验证:

UserGroupInformation类中使用静态变量存放hadoop conf和已认证用户信息,所以只需要程序中认证一次,不同类不需要传递认证的user,只需要都到UserGroupInformation取即可。

    private static Configuration conf;
    private static UserGroupInformation loginUser = null;
    private static String keytabPrincipal = null;
    private static String keytabFile = null;

调用org.apache.hadoop.security.UserGroupInformation#loginUserFromKeytab传入principal和keytab就可以完成认证。

3.2、cloudera改良过的UserGroupInformation验证:

当然,可以调用原生的loginUserFromKeytab也可以。

改良内容就是通过配置环境变量的方法,隐性完成kerberos用户认证。无需UserGroupInformation认证,在调用getLoginUser可以自动完成认证。
具体过程如下:
org.apache.hadoop.security.UserGroupInformation#getLoginUser方法获取用户

  public static UserGroupInformation getLoginUser() throws IOException {
  ...
    if (loginUser == null) {
      UserGroupInformation newLoginUser = createLoginUser(null);
      ... 
      }
  }

实际是调用了doSubjectLogin(null, null)

  UserGroupInformation createLoginUser(Subject subject) throws IOException {
    UserGroupInformation realUser = doSubjectLogin(subject, null);
    ...
 }

如下代码subject == null && params == null判断true

 private static UserGroupInformation doSubjectLogin(
      Subject subject, LoginParams params) throws IOException {
    ensureInitialized();
    // initial default login.
    if (subject == null && params == null) {
      params = LoginParams.getDefaults();
    }
    HadoopConfiguration loginConf = new HadoopConfiguration(params);
    try {
      HadoopLoginContext login = newLoginContext(
        authenticationMethod.getLoginAppName(), subject, loginConf);
      login.login();
...
  }

获取环境变量:KRB5PRINCIPALKRB5KEYTABKRB5CCNAME

  private static class LoginParams extends EnumMap<LoginParam,String>
      implements Parameters {
      ...
    static LoginParams getDefaults() {
      LoginParams params = new LoginParams();
      params.put(LoginParam.PRINCIPAL, System.getenv("KRB5PRINCIPAL"));
      params.put(LoginParam.KEYTAB, System.getenv("KRB5KEYTAB"));
      params.put(LoginParam.CCACHE, System.getenv("KRB5CCNAME"));
      return params;
    }
  }

结果是利用环境变量设置的pricipal+keytab或者cache认证。
环境变量配置:
(1)每个程序单独配置:
-DKRB5PRINCIPAL=xxx -DKRB5KEYTAB=xxx 或者 -DKRB5CCNAME=xxx

(2)系统环境默认配置:
win环境如下:
在这里插入图片描述

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化资料的朋友,可以戳这里获取

入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!**

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化资料的朋友,可以戳这里获取

2301_82241942
关注
专栏目录
kerberos认证可以通过keytab文件认证用户
fanchw的专栏
07-07 7585
1.获取认证密码 klist -kt /etc/hyperbase1/conf/hyperbase.keytab [root@node11 ~]# klist -kt /etc/hyperbase1/conf/hyperbase.keytab Keytab name: FILE:/etc/hyperbase1/conf/hyperbase.keytab KVNO Timestamp Principal ---- ------------------- ------------
Hadoop集群集成kerberos
SeoHyunChyL的博客
09-29 3546
上周周会领导让研究kerberos,要在我们的大集群使用,研究任务指派给了我。这周的话也是用测试集群大概的做了一遍。目前为止的研究还比较粗糙,网上众多资料都是CDH的集群,而我们的集群是不是用的CDH,所以在集成kerberos的过程中有一些不同之处。测试环境是由5台机器搭建的集群hadoop版本是2.7.2。5台机器host分别是 rm1、rm2、test-nn1、test-nn2、10-1
kerberoshadoop集群使用keytab认证逻辑
lisacumt的专栏
03-08 1467
hadoop集群使用keytab认证逻辑
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1526
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
Hadoop Kerberos 集成
hyunbar的博客
02-10 2962
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 106篇原创内容 ...
kerberos认证:生成keytab文件并实现java代码用keytab登录hadoop集群
qq_41358574的博客
06-26 731
用户首先向认证服务器(AS)请求一个票据授权票(Ticket-Granting Ticket, TGT),然后使用 TGT 向票据授权服务器(Ticket-Granting Server, TGS)请求服务票据。Kerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。AS 是 Kerberos 认证过程中的第一个服务,负责验证用户的身份,并发放初始的 TGT。TGS 负责发放访问特定服务的票据。用户使用服务票据向目标服务进行认证,服务票据授权用户访问特定的服务。
kerberoshadoop集群使用keytab认证逻辑_centos 8 hadoop-2
2401_84167109的博客
04-15 687
【代码】【kerberoshadoop集群使用keytab认证逻辑_centos 8 hadoop-2。
Hadoop部署和配置Kerberos安全认证
05-17
### Hadoop部署和配置Kerberos安全认证 #### 一、Kerberos认证系统简介 Kerberos是一种网络认证协议,其设计目标是通过密钥分发中心(Key Distribution Center, KDC)来管理用户和服务之间的认证过程。Kerberos在...
快速搭建kerberos认证的HDFS环境
qq_39522120的博客
03-12 1026
快速搭建kerberos认证的HDFS环境
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
手把手视频详细讲解项目开发全过程,需要的小伙伴自行百度网盘下载,链接见附件,永久有效。 课程简介 从零学习Kerberos安全认证机制,并和Hadoop、YARN、HIVE进行集成,通过知识点 + 案例教学法帮助小白快速掌握Hadoop集成Kerberos安全技术。 课程亮点 1,专项攻破Hadoop安全配置。 2,生动形象,化繁为简,讲解通俗易懂。 3,全程实操,边操作边讲解,不再只听概念。 适用人群 1、对大数据安全机制方面技术感兴趣的在校生及应届毕业生。 2、Hadoop从业者,希望进一步提升个人技能,拓展职业路线。 3、对大数据行业感兴趣的相关人员。 课程内容 第一章 Kerberos简介 第二章 环境准备 2.1 使用软件版本信息介绍 2.2 节点架构介绍 2.3 基础系统环境准备 第三章 Kerberos框架搭建 3.1 Kerberos Server搭建 3.2 Kerberos Client搭建 3.3 规划principal 第四章 配置HDFS和Kerberos的集成 第五章 配置YARN和Kerberos的集成 第六章 配置HIVE和Kerberos的集成 第七章 最终集成测试验收成果
hadoophadoop 安装 kerberos
九师兄
04-23 2511
1.概述 本次是视频:【大数据基础】快速掌握Hadoop集成Kerberos安全技术 笔记。 2.环境信息 2.1 版本信息 本次课程基于使用的软件环境如下: 。CDH5.14.4 。hadoop2.6.0-cdh5.14.4 。hive1.1.1-cdh5.14.4 CentOS 6.9 x64操作系统 JDK 1.8 and jdk1.7(for maven) apache-maven-3.0.5 Kerberos 使用在线yum库提供的最新版本 除操作系统外,所有需要用到的安装包,在课件内都有提.
hadoop 3.X 分布式HA集成Kerbos(保姆级教程)
最新发布
guofei_ok的博客
06-30 1236
前提:先安装Kerbos。
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 566
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key
hadoop安全保护机制(kerberos + ldap)
wjandy0211的博客
07-17 1644
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,是一种基于X.500目录访问协议的集中账号管理架构的实现协议标准Ldap运行在TCP/IP或其他面向连接的传输服务之上。
大数据入门教程,小白快速掌握Hadoop集成Kerberos安全技术
黑马程序员官方博客
06-24 656
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。今天分享的视频教程从零学习Kerberos安全认证机制,并和Hadoop、YARN、HIVE进行集成,通过知识点 + 案例教学法帮助小白快速掌握Hadoop集成Kerberos安全技术。 小白快速掌握Hadoop集成Kerberos安全技术 http://yun.itheima.com/course/746.html?Stt 课程内容 第一章 Kerberos简介 第二章 环境准备 2.1 使用
ktutil编写生成keytab文件的脚本、通过keytab文件认证用户
不是一枚开发
02-18 897
示例:为密码123456的hive用户,生成名称为hive.keytab认证文件。生成keytab文件的脚本。
手把手教你搭建Hadoop集群:Intel Hadoop 2.5在CentOS上的实战
- 考虑实施Hadoop的安全模式,如Kerberos认证,以增加集群安全性。 - 根据实际硬件资源和工作负载调整Hadoop配置,如Block大小、副本数量、内存分配等,以优化性能。 通过以上步骤,新手可以逐步构建一个基本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值