【kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2(1)

最新推荐文章于 2024-10-02 08:23:00 发布
最新推荐文章于 2024-10-02 08:23:00 发布
阅读量824 收藏 17
点赞数 15
分类专栏: 2024年程序员学习 文章标签: hadoop centos 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84183070/article/details/137661982
版权

以上环境变量常用的有
KRB5_CONFIG :krb5.conf或krb5.ini文件路径
KRB5CCNAME:kerberos cache文件路径(注:此文件可由MIT kerberos客户端生成)

二、具体认证步骤

1、krb5.conf信息配置

注意:UserGroupInformation中设置KRB5_CONFIG是没有用的,必须要设置java.security.krb5.conf

如下方法都可以:
(1)项目启动指定java vm变量:-Djava.security.krb5.conf=D:/xxx/xxx/krb5.conf
(2)程序中指定:System.setProperty("java.security.krb5.conf", "D:/xxx/xxx/krb5.conf")

如果不指定程序会找不到kdc,报异常,如下:

org.apache.hadoop.security.KerberosAuthException: failure to login: for principal: xxx@HADOOP.COM from keytab D:\xxx\xxx\xxx.keytab javax.security.auth.login.LoginException: null (68)
Caused by: javax.security.auth.login.LoginException: null (68)
Caused by: KrbException: null (68) 
Caused by: KrbException: Identifier doesn't match expected value (906)
2、hadoop conf信息配置

Hadoop configuration配置(类org.apache.hadoop.conf.Configuration
文档中明确了:会默认加载类路径下的core-default.xml文件内容。

Unless explicitly turned off, Hadoop by default specifies two resources, loaded in-order from the classpath:
core-default.xml: Read-only defaults for hadoop.
core-site.xml: Site-specific configuration for a given hadoop installation.

core-default.xml中含有hadoop的安全配置hadoop.security.authentication,在UserGroupInformation中依据此项配置,查询集群是否启动kerberos。
HADOOP_SECURITY_AUTHENTICATION路径如下:
org.apache.hadoop.fs.CommonConfigurationKeysPublic#HADOOP_SECURITY_AUTHENTICATION

  public static AuthenticationMethod getAuthenticationMethod(Configuration conf) {
    String value = conf.get(HADOOP\_SECURITY\_AUTHENTICATION, "simple");
    try {
      return Enum.valueOf(AuthenticationMethod.class,
          StringUtils.toUpperCase(value));
    } catch (IllegalArgumentException iae) {
      throw new IllegalArgumentException("Invalid attribute value for " +
          HADOOP\_SECURITY\_AUTHENTICATION + " of " + value);
    }
  }

所以如果在环境变量中配置了HADOOP_HOME或者HADOOP_CONF_DIR对于UserGroupInformation是没有用的。
必须将core-site.xml放在类路径下,或者直接调用org.apache.hadoop.security.UserGroupInformation#setConfiguration设置加载过core-site.xml的conf对象。

3、UserGroupInformation认证
3.1 、apache原生的UserGroupInformation验证:

UserGroupInformation类中使用静态变量存放hadoop conf和已认证用户信息,所以只需要程序中认证一次,不同类不需要传递认证的user,只需要都到UserGroupInformation取即可。

    private static Configuration conf;
    private static UserGroupInformation loginUser = null;
    private static String keytabPrincipal = null;
    private static String keytabFile = null;

调用org.apache.hadoop.security.UserGroupInformation#loginUserFromKeytab传入principal和keytab就可以完成认证。

3.2、cloudera改良过的UserGroupInformation验证:

当然,可以调用原生的loginUserFromKeytab也可以。

改良内容就是通过配置环境变量的方法,隐性完成kerberos用户认证。无需UserGroupInformation认证,在调用getLoginUser可以自动完成认证。
具体过程如下:
org.apache.hadoop.security.UserGroupInformation#getLoginUser方法获取用户

  public static UserGroupInformation getLoginUser() throws IOException {
  ...
    if (loginUser == null) {
      UserGroupInformation newLoginUser = createLoginUser(null);
      ... 
      }
  }

实际是调用了doSubjectLogin(null, null)

  UserGroupInformation createLoginUser(Subject subject) throws IOException {
    UserGroupInformation realUser = doSubjectLogin(subject, null);
    ...
 }

如下代码subject == null && params == null判断true

 private static UserGroupInformation doSubjectLogin(
      Subject subject, LoginParams params) throws IOException {
    ensureInitialized();
    // initial default login.
    if (subject == null && params == null) {
      params = LoginParams.getDefaults();
    }
    HadoopConfiguration loginConf = new HadoopConfiguration(params);
    try {
      HadoopLoginContext login = newLoginContext(
        authenticationMethod.getLoginAppName(), subject, loginConf);
      login.login();
...
  }

获取环境变量:KRB5PRINCIPALKRB5KEYTABKRB5CCNAME

  private static class LoginParams extends EnumMap<LoginParam,String>
      implements Parameters {
      ...
    static LoginParams getDefaults() {
      LoginParams params = new LoginParams();
      params.put(LoginParam.PRINCIPAL, System.getenv("KRB5PRINCIPAL"));
      params.put(LoginParam.KEYTAB, System.getenv("KRB5KEYTAB"));
      params.put(LoginParam.CCACHE, System.getenv("KRB5CCNAME"));
      return params;
    }
  }

结果是利用环境变量设置的pricipal+keytab或者cache认证。
环境变量配置:
(1)每个程序单独配置:
-DKRB5PRINCIPAL=xxx -DKRB5KEYTAB=xxx 或者 -DKRB5CCNAME=xxx

(2)系统环境默认配置:
win环境如下:
在这里插入图片描述

linux环境下/etc/profile添加:
export KRB5PRINCIPAL=xxx -DKRB5KEYTAB=xxx或者export KRB5CCNAME=xxx

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数大数据工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年大数据全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上大数据开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注大数据获取)
img

进阶课程,基本涵盖了95%以上大数据开发知识点,真正体系化!**

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注大数据获取)
[外链图片转存中…(img-KPROscE9-1712868873226)]

CentOS上搭建Hadoop2.5.2_CentOS搭建hadoop_云计算_源码
10-01
- 考虑启用Hadoop的安全特性,如Kerberos认证,以增强系统的安全性。 14. **性能优化**: - 根据硬件资源调整Hadoop配置,如内存分配、网络带宽限制等,以提高集群性能。 通过以上步骤,你可以在CentOS 7.0上...
windows平台上krb5.conf的位置
shy_snow的专栏
06-16 2137
windows上需要把krb5.conf改为krb5.ini, 寻找krb5.ini的位置按优先级如下: 1.由 java.security.krb5.conf 引用的文件 2.%java.home%/lib/security/krb5.conf 3. c:\winnt\krb5.ini。 推荐还是在jvm参数里设置-Djava.security.krb5.conf=d:/test/krb5.ini 这个亲测有效
Java 连接 启用kerberos的Kafka
热门推荐
我见青山多妩媚,料青山见我应如是
09-19 1万+
前言: 最近换了新工作,在新环境下逐步适应中,来了近三周时间,也未能申请到一套服务器用来搭建CDH集群。一直用的是别人的集群,但是别人的集群各种权限限制,CDH集群还配置了kerberos认证,大大增加了工作量与工作难度。所以能不搞Kerberos认证最好不要弄这玩意,自讨苦吃........ CM为Kafka配置Kerberos 1.实施方案前,假设下面条件满足 CDH集成Kerberos...
Hadoop krb5.conf 配置详解
最新发布
qq_43071699的博客
10-02 1104
krb5.conf文件是Kerberos认证系统中的一个关键配置文件,它包含了Kerberos的配置信息,如KDC(Key Distribution Centers)和Kerberos相关域的管理员服务器位置、当前域和Kerberos应用的默认设置、以及主机名与Kerberos域的映射等。以下是对Hadoop环境中krb5.conf
浅析java代码是如何获取kerberos principal 的realm和kdc相关信息的
明哥的IT随笔
12-19 1824
我们知道,使用 kerberosjava 代码中最关键的配置项是指定默认的realm和默认的kdc,一般我们可以通过在代码中配置环境变量 java.security.krb5.rea...
Kafka-配置Kerberos安全认证(JDK8、JDK11)
孟孟的博客
07-24 4895
Kerberos 服务器上拷贝到目标机器 或 找运维人员要一份。从 Kerberos 服务器上拷贝到目标机器 或 找运维人员要一份。3、Kerberos 配置文件(2、keytab 文件(1、JAAS 配置文件。
java kerberos HDFSFileService
杜海的博客
09-20 281
package filesysetm.core; import java.io.File; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; import java.security.NoSuchAlgorithmException; import org.apache.h...
Hadoop部署和配置Kerberos安全认证
05-17
### Hadoop部署和配置Kerberos安全认证 #### 一、Kerberos认证系统简介 Kerberos是一种网络认证协议,其设计目标是通过密钥分发中心(Key Distribution Center, KDC)来管理用户和服务之间的认证过程。Kerberos在...
sqoop-1.4.2.bin__hadoop-2.0.0-alpha.tar
07-30
9. **安全性**:在 Hadoop 2.x 版本中,安全性得到了增强,Sqoop 也需要考虑 Kerberos 认证和权限控制。在部署时,需要确保 Sqoop 配置正确以适应安全环境。 10. **Sqoop 整合其他组件**:Sqoop 可以与 HCatalog ...
hadoop快速集成kerberos认证
01-13
`start-kerberos-zk.sh`和`stop-all.sh`是脚本文件,分别用于启动Kerberos认证的ZooKeeper和停止所有Hadoop相关服务,它们简化了集群的管理和维护。 综上所述,这个压缩包提供了从零开始到完成Hadoop、HBase和...
Hadoop构建数据仓库实践1_hadoop_
10-03
Hadoop提供了如Kerberos、Sentry和Hadoop Security Manager等安全机制,以保障数据的访问和使用安全。 通过以上步骤,我们可以看出,Hadoop不仅提供了一个强大而灵活的平台来构建数据仓库,还为企业提供了从数据中...
Java API连接Kerberos认证的HBASE
tonseal的博客
03-08 6220
网上关于 Java 代码连接启用了Kerberos认证的HBASE资料很多,但是总感觉不够准确,总是出现各种问题。经过整合网上资料和亲自试验,得出连接成功的最小配置项如下: java.security.krb5.conf hadoop.security.authentication hbase.security.authentication hbase.regionserver.kerberos.principal hbase.zookeeper.quorum hbase.zookeeper.
kerberos验证协议安装配置使用
krb___的博客
03-18 1421
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
springboot项目java连接kerberos认证的hive和hbase,代码及报错问题解决
mathlpz126的博客
03-31 6667
项目部署要连接外部系统(如苏研平台)的大数据平台hive和hbase组件,大数据平台配置了kerberos安全认证,但对方没有提供相关的连接示例代码。 由于是第一次对接,部署调试过程中遇到很多问题,记录下来,仅供参考。 1、hive连接配置代码: /** * @return */ @Bean(name = "datasourceHive") public DataSource getDataSourceHive() { // .
Scala本地连接带有kerberos的Hive
jane3von的专栏
12-22 1100
Scala本地连接带有kerberos的Hive,网上找了很多但是自己实际用起来还是连不上,所有贴上可用的版本。 代码中的confPath路径就是实际本地路径,例如项目resources目录下的Kerberos目录: "C:\\UseXXX\\Project\\MY_Projects\\test3\\src\\main\\resources\\Kerberos\\" def initSpark() : SparkConf = { val isWin = System.getProperty
Centos7 + KDC 1.15 高可用部署(全量和增量方式)
snipercai的博客
08-02 1679
搭建kdc服务,采用全量和增量两种方式实现高可用
c++使用librdkafka kerberos认证
chengfang0911的专栏
09-02 2182
sasl.kerberos.kinit.cmd命令不用加,文档上面写的是默认执行:kinit -R -t "%{sasl.kerberos.keytab}" -k %{sasl.kerberos.principal} || kinit -t "%{sasl.kerberos.keytab}" -k %{sasl.kerberos.principal}把krb5.conf拷贝到/etc/目录替换到原来的krb5.conf文件。设置环境变量 KRB5_CONFIG=/***/krb5.conf
Kerberos 主从配置
weixin_34088583的博客
12-27 336
前言 本篇文档衔接上一篇 Kerberos 的安装配置;详见:https://blog.51cto.com/784687488/2332072 配置指定Kerberos配置文件的系统环境变量 # 以下配置是 Kerberos 默认配置,也可以不配。如果需要改变 Kerberos 默认的配置文件路径则必须配置 echo "export KRB5_CONFIG=/etc/krb5.conf" >...
记一次Cloudera Manager关于Kerberos的credentials missing问题
Karka_的博客
12-25 1046
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。于是对比了一下kdc server的配置文件和正常的kdc server的配置文件,发现缺少了logging部分。
手把手教你搭建Hadoop集群:Intel Hadoop 2.5在CentOS上的实战
- 考虑实施Hadoop的安全模式,如Kerberos认证,以增加集群安全性。 - 根据实际硬件资源和工作负载调整Hadoop配置,如Block大小、副本数量、内存分配等,以优化性能。 通过以上步骤,新手可以逐步构建一个基本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值