0552-5.15.0-同一OS用户下不同Kerberos用户执行脚本Principal串掉问题分析

最新推荐文章于 2024-04-13 16:37:59 发布
最新推荐文章于 2024-04-13 16:37:59 发布
阅读量552 收藏 2
点赞数 1
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/103329465
版权

1 文档编写目的

在集群启用Kerberos后,使用同一个OS用户在客户端并发调度Python代码获取Hive数据(代码中使用不同的kerberos用户kinit),会出现两个作业的认证混乱获取到的票据串掉。本文Fayson主要分析Kerberos环境同一OS用户下并发执行不同身份认证的Python代码会导致Principal串掉问题解决。

  • 测试环境

1.CDH5.15.0

2.Redhat7.3

3.集群已启用Kerberos

2 问题描述

Fayson通过一段简单的示例代码说明问题,在代码中执行kinit命令初始化Kerberos信息,通过impyla包访问Hive,具体代码如下:

from impala.dbapi import connect
import os
os.system('kinit -k -t /data/disk1/pythonkb/hbase.keytab hbase/cdh04.fayson.net')
os.system('klist')

conn = connect(host='cdh02.fayson.net',port=10000,database='default',auth_mechanism='GSSAPI',kerberos_service_name='hive')
print(conn)

cursor = conn.cursor()
cursor.execute('show databases')
print (cursor.description)  # prints the result set's schema
results = cursor.fetchall()
print(results)

在同一个用户的OS下创建test_hbase.py和test_yarn.py的两个Python脚本,分别使用hbase和yarn用户初始化Kerberos信息。

在crontab中添加两个定时任务,使两个任务同时并发

在生成的testhbase.log和testyarn.log中可以看到两个脚本会获取到对方的Principal信息

3 问题分析

1.首先在客户端进行Kinit操作后,默认的Ticket Cache是存储在tmp/krb5cc_0临时文件中(Ticket cache文件是根据当前用户的uid在/tmp目录下生成一个以krb5cc_开头的临时文件)。

2.由于上述的两个脚本是在同一个OS用户下,所以两个不同的Kerberos用户在进行Kinit操作后都会覆盖/tmp/krb5cc_{uid}文件

根据上述两点基本可以定位问题的原因,因为Ticket cache文件被覆盖导致Kerberos的票据信息串掉。

4 问题解决

由于两个Python脚本使用了同一份Ticket cache文件导致Kerberos的票据信息串掉,那通过在代码中指定Ticket cache文件,而不使用默认的文件。Fayson对上述代码做了如下改动,在代码中增加了OS环境变量KRB5CCNAME的设置,具体代码如下:

from impala.dbapi import connect
import os
os.environ['KRB5CCNAME']='/tmp/krb5_ccname_hbase'
os.system('kinit -k -t /data/disk1/pythonkb/hbase.keytab hbase/cdh04.fayson.net')
os.system('klist')

conn = connect(host='cdh02.fayson.net',port=10000,database='default',auth_mechanism='GSSAPI',kerberos_service_name='hive')
print(conn)

cursor = conn.cursor()
cursor.execute('show databases')
print (cursor.description)  # prints the result set's schema
results = cursor.fetchall()
print(results)

通过修改上述两个脚本,在两个脚本中都指定KRB5CCNAME环境变量为不同的文件,再次进行测试未发现两个应用的票据信息串掉的问题。

5 总结

1.默认Ticket cache文件的生成是根据用户的uid在/tmp目录下生成一个以krb5cc_开头的缓存文件。

2.如果在同一个OS用户下使用不同的Kerberos用户进行kinit会覆盖/tmp/krb5cc_{uid}文件,从而导致应用中的票据信息串掉。

3.可以通过在应用中为不同的Kerberos用户指定一个独立的Ticket cache文件,以防止票据信息串掉。

Hadoop_SC
关注
专栏目录
0614-5.16.1-同一OS用户并行Shell脚本中kinit不同Principal串掉问题分析
Hadoop_SC的博客
10-20 772
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 在前面的文章《CDH5.15.0-同一OS用户不同Kerberos用户执行脚本Principal串掉问题分析》中Fayson主要介绍了同一OS用户下并发调度Python脚本时会导致Princ...
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级Kerberos Server docker映像。 用法 Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 ...
sh 脚本 获取环境变量_0614-同一OS用户并行Shell脚本中kinit不同Principal串掉问题...
weixin_30704893的博客
01-25 566
1.文档编写目的在前面的文章《0552-5.15.0-同一OS用户不同Kerberos用户执行脚本Principal串掉》中Fayson主要介绍了同一OS用户下并发调度Python脚本时会导致Principal账号串掉,通过在Python代码中指定KRB5CCNAME环境变量解决问题,本篇文章Fayson主要介绍通过同一OS用户下并发调度Shell脚本进行不同用户Kerberos认证Princ...
kerberos客户端与服务端搭建操作
weixin_40496191的博客
04-09 1753
文章目录一、关键字概念二、服务端搭建三、客户端搭建 一、关键字概念 Principal:Principal是用来表示参加认证实体,相当于用户名,用来来表示一个client或server唯一的身份。Principal是由三个部分组成:名字(name),实例(instance,可选,一般是所需密钥的服务器的主机名或ip),REALM(域)。格式是:name/instance@REALM name:可以是任意的字符串,比如说可能是操作系统下的用户名等。 instance:定义了用户不同的role下使
kafka配置kerberos认证&&java/netcore连接kerberos的kafka
yangqin@1225的博客
05-19 3757
安装kdc及配置 安装kdc yum install -y krb5-libs krb5-server krb5-workstation krb5-libs 修改配置文件,将realms以及default_realm取消注释 vi /etc/krb5.conf 创建数据库存放principal kdb5_util create -r EXAMPLE.COM -s 使用kadmin.local来添加kafka以及zookeeper的principal (按q可退出kadmin.loca
kafka集群开启SASL/Kerberos安全认证
shy_snow的专栏
06-30 3064
Kafka使用JAAS(Java认证和授权服务)进行SASL(基于网络连接的安全认证机制)配置。 通过三个步骤即可实现JAAS安全认证: (1) 配置jaas相关信息 (2) 开启SASL/Kerberos认证 (3) 通过脚本将配置信息传递给java虚拟机,这样java的JAAS服务才能根据配置进行认证和授权服务。 不论是zookeeper集群还是kafka集群都是如此。 .........
大数据集群票据碰撞问题
tianjun2012的专栏
03-27 1447
kdc-kerberos 票据缓存在默认的/tmp/krb5cc_*这个文件,会导致有连个严重的问题: linux系统会定期删除/tmp,这回导致偶发性的票据验证失败问题; 多用户并发执行任务的时候,票据会碰撞导致意外结果: shell: 设置环境变量 export KRB5CCNAME=/home/keytab/krb5cc python:改变缓存票据的存放路径 #!/usr/b...
krb-operator:Kubernetes和OpenShift的Kerberos运算符
02-25
Kerberos运算子 该操作员部署KDC,Kadmin服务器,并创建主体和它们的密钥表作为k8s机密。 使用 Scala库开发。 运营商用例 为什么要使用此运算符? 您的身份验证需要将密钥表安装到Pod:使用必需的主体部署此操作员...
商业编程-源码-Kerberos 留言簿 v1.0.zip
06-21
Kerberos 留言簿 v1.0 源码分析》 在IT行业中,Kerberos一个广泛使用的安全协议,它主要用于网络身份验证。这个“商业编程-源码-Kerberos 留言簿 v1.0.zip”文件提供了一个基于Kerberos技术的留言簿应用的源...
商业编程-源码-Kerberos 留言簿 v1.0(MYSQL).zip
06-21
Kerberos 留言簿 v1.0(MYSQL) 源码解析与商业编程实践》 在IT行业中,源码分析是一项至关重要的技能,它能够帮助开发者深入理解软件的工作原理,优化代码,以及提升开发效率。本篇文章将详细解析名为"Kerberos ...
0557-6.1.0-Kerberos环境下SQL客户端DBeaver配置异常分析
Hadoop_SC的博客
11-30 1443
1 文档编写目的 参考Fayson前面的文章《0469-如何使用DBeaver访问Kerberos环境下的Impala》,环境变量也配置了,krb5.conf文件也准备好了,但在使用SQL客户端攻击DBeaver访问Kerberos环境下的Impala时总是提示“Unable to connect server:GSSinitiate failed”异常。本篇文章主要详细的介绍在Window客户端...
python连接kerberos认证的kafka,踩坑(NoBrokersAvailable)
u013153465的博客
08-26 3185
然后再看源码,吐了一口老血,其实在2.0.2的版本里面,是有自动获取版本的操作的,只有连接失败的情况之后才会使用手动设置版本,本来就已经连不上了,设置版本对我这里来说,压根不是根本原因啊。因为原先对kerberos不太熟,疯狂看资料之后,发现自己漏了一个操作,就是kerberos里面有个kinit操作,需要我们在自己机器里面手动kinit,然后才能连接。接着,最不靠谱的地方出现了,全网铺天盖地的出现了加一个api_version =(xxx版本)参数,然后就可以使用了。对应python的库是。...
airflow源码精读 六
u013010890的博客
03-11 311
trigger_rule【all_success | all_failed | all_done | one_success】表示对于上游算子 的依赖;接受的cli命令通过在args根据给定命令匹配到指定的Arg(tuple数组),在以Arg名称去subparsers匹配到相应的执行函数func。wait_for_downstream表示当且上次的dagrun的下游算子完成之后,才能触发该次算子运行。算子本身可以是一个dag图,运行时会占用一定资源,以虚拟的。算子与算子之间,不能直接通信。
kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2
最新发布
2401_84166878的博客
04-13 285
以上环境变量常用的有:krb5.conf或krb5.ini文件路径KRB5CCNAME:kerberos cache文件路径(注:此文件可由MIT kerberos客户端生成)
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2774
域渗透约束委派的利用
kerberos】hadoop集群使用keytab认证的逻辑
lisacumt的专栏
03-08 1352
hadoop集群使用keytab认证的逻辑
kerberos GSS initiate failed认证失败的原因及解决方案
炼数成器
12-29 2773
这就导致同一任务可能会并发执行kinit操作,而 kerberos Ticket Cache文件存储在/tmp目录下,文件名为krb5cc_{uid},其中uid为用户标识号。因为同一OS用户下的多个脚本共享相同的uid,由于并发kinit操作,不同认证可能会覆盖同一个uid下的Ticket Cache文件,导致Kerberos认证信息串掉环境变量为每个Kerberos用户指定独立的Ticket Cache文件,解决并发执行脚本时Ticket Cache文件被覆盖的问题。通过在Shell脚本中设置。
kinit: Failed to store credentials: Internal credentials cache error (filename: /tmp/krb5cc_1006)
cclovezbf的博客
01-03 2937
一般认证可以管一天 续期7天,七天认证下,不也可以么?问题的关键是 你这样一直认证确实可以解决,但是我们使用kerberos的目的就是安全,你这样一直认证,等于说别人只要知道了你devuser的密码就可以(等你认证或有效期内)在hdfs上为所欲为 ,而之前他需要kinit,他需要知道keytab的位置和principal。我们的脚本都是通过dolphin去调用shell,dolphin的用户对应的租户都是producer,就是说只有一个用户,但是有成千上万个任务,真的需要全部都kinit一遍吗?
hadoop在Kerberos认证模式下的用户切换问题
weixin_34443490的博客
04-09 7243
hadoop使用到kerberos作为用户身份的一种认证方式。关于Kerberos的定义和用法,可以参考很多资料,这里就略过。 hadoop体系,hdfs,hbase,hive,spark等系统,事实上,都有权限控制体系,比如HDFS的读写权限控制,文件的所有者所属组等。kerberos在这里扮演的角色,事实上是一个验证的行为,告诉系统当前用户的身份是什么,方便权限控制系统进行判定。   对于
Hadoop强化云数据安全:Kerberos认证与Map-Reduce模型
在论文中,作者对Hadoop结合Kerberos的应用进行了深入分析,并将其与现有的云安全技术进行了对比。通过这种方式,研究展示了所提出技术在保护数据安全方面的优越性。Kerberos的集成不仅增强了用户身份验证,还为数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值