java连接hbase Kerberos 24小时过期问题

最新推荐文章于 2024-06-26 16:15:22 发布
最新推荐文章于 2024-06-26 16:15:22 发布
阅读量2.3k 收藏 6
点赞数 2
分类专栏: 个人笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alfred889988/article/details/109571668
版权

web项目访问hbase,新客户要求添加kerberos。刚开始是这样写的:

try{
    UserGroupInformation.setConfiguration(hbConf); 
    UserGroupInformation.loginUserFromKeytab(userName,keyTabFile);
}catch (IOException e){
    logger.error("kerbose登录报错" + e);
}

项目部署到服务器上连接正常,但是到了24h后就过期了,报错信息如下:

javax.security.sasl.SaslException: GSS initiate failed
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:211)
	at org.apache.hadoop.hbase.security.HBaseSaslRpcClient.saslConnect(HBaseSaslRpcClient.java:179)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection.setupSaslConnection(RpcClientImpl.java:617)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection.access$700(RpcClientImpl.java:162)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection$2.run(RpcClientImpl.java:743)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection$2.run(RpcClientImpl.java:740)
	at java.security.AccessController.doPrivileged(Native Method)
	at javax.security.auth.Subject.doAs(Subject.java:422)
	at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1614)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection.setupIOstreams(RpcClientImpl.java:740)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection.writeRequest(RpcClientImpl.java:909)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl$Connection.tracedWriteRequest(RpcClientImpl.java:873)
	at org.apache.hadoop.hbase.ipc.RpcClientImpl.call(RpcClientImpl.java:1244)
	at org.apache.hadoop.hbase.ipc.AbstractRpcClient.callBlockingMethod(AbstractRpcClient.java:227)
	at org.apache.hadoop.hbase.ipc.AbstractRpcClient$BlockingRpcChannelImplementation.callBlockingMethod(AbstractRpcClient.java:336)
	at org.apache.hadoop.hbase.protobuf.generated.ClientProtos$ClientService$BlockingStub.multi(ClientProtos.java:35444)
	at org.apache.hadoop.hbase.client.MultiServerCallable.call(MultiServerCallable.java:136)
	at org.apache.hadoop.hbase.client.MultiServerCallable.call(MultiServerCallable.java:52)
	at org.apache.hadoop.hbase.client.RpcRetryingCaller.callWithoutRetries(RpcRetryingCaller.java:212)
	at org.apache.hadoop.hbase.client.AsyncProcess$AsyncRequestFutureImpl$SingleServerRequestRunnable.run(AsyncProcess.java:771)
	at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:511)
	at java.util.concurrent.FutureTask.run(FutureTask.java:266)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
	at java.lang.Thread.run(Thread.java:748)
Caused by: org.ietf.jgss.GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)
	at sun.security.jgss.krb5.Krb5InitCredential.getInstance(Krb5InitCredential.java:147)
	at sun.security.jgss.krb5.Krb5MechFactory.getCredentialElement(Krb5MechFactory.java:122)
	at sun.security.jgss.krb5.Krb5MechFactory.getMechanismContext(Krb5MechFactory.java:187)
	at sun.security.jgss.GSSManagerImpl.getMechanismContext(GSSManagerImpl.java:224)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:212)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)
	... 24 common frames omitted

测试1:参考:https://www.cnblogs.com/darange/p/13693026.html,加了定时任务,验证还是24h过期。

测试2:本地idea启动项目,更改krb5.conf文件的ticket_lifetime和renew_lifetime,均没有效果。

测试3:设置crontab 定期去刷新或者linux服务器设置ticket_lifetime和renew_lifetime,均没有效果。原因可以参考:https://cloud.tencent.com/developer/article/1419272

测试4:定时任务执行   UserGroupInformation.loginUserFromKeytab(userName,keyTabFile)。还是没效果。

测试5:我项目的JDK是1.8,hbase-client对应的版本是1.3.0,强调这个版本号,是因为错误的原因就是由JDK版本和hadoop-common版本不匹配引起的。

原因可参考https://www.cnblogs.com/gaofeng-henu/archive/2020/01/14/12190580.html

问题解决方法:

步骤1:hbase-client版本改为1.5.0

<dependency>
      <groupId>org.apache.hbase</groupId>
      <artifactId>hbase-client</artifactId>
      <version>1.5.0</version>
</dependency>

对应引入的依赖如下:

 

步骤2:添加定时任务

try {
        UserGroupInformation.loginUserFromKeytab(userName,keyTabFile);
    
        long time = 24 * 60 * 60 * 1000;//24小时循环
        new Timer().scheduleAtFixedRate(new TimerTask() {
            @Override
            public void run() {
                try {
                    UserGroupInformation.getLoginUser().checkTGTAndReloginFromKeytab();
                } catch (IOException e) {
                    logger.error("kerberos reloginFromKeytab error", e);
                }
            }
        }, 0, time);
} catch (IOException e) {
    logger.error("kerberos init error", e);
}

总结:目前过了48h,项目运行正常。

 

 

fcd666
关注
专栏目录
【hadoop】java连接hadoop Kerberos 24小时过期问题
九师兄
02-07 938
文件,如果配置了高可用,会直接加载高可用的ResourceManager,但是现在情况看起来是,虽然客户端配置了,但是实际运行起来发现,客户端不会自动切换。然后就怀疑是第二个问题,然后我就问对方,kerberos是不是有24小时过期问题,他们回复是的,于是我就想起来上个公司,我们的程序一般都是带刷新的功能。最近在做hadoop认证,然后认证成功后,一段时间就会报错,排查了一番,发现可能是如下原因。后来验证了一下,发现我们加载了。然后现在好像一直没遇到问题了。
java kerberos hbase_java-如何续订HBase中即将到期的Kerberos票证?
weixin_39721924的博客
03-04 475
我有一个小的spring服务,它提供基本功能,例如从hbase表中进行put / delete / get.一切似乎都正常,但是有一个问题.启动tomcat服务器10小时后,我的kerberos票证到期了,因此我应该对其进行续订.我试图将Java api用于hbase,并且在每种方法的代码中都使用它,它连接hbase,我添加了以下代码:UserGroupInformation.getLoginU...
hbase链接zookeeper显示session expired的原因是什么
weixin_42602726的博客
02-15 1066
HBase连接ZooKeeper显示"session expired"的原因可能是以下几种: ZooKeeper集群中的某个节点已经停止工作,导致与该节点建立的所有客户端会话都过期。 客户端与ZooKeeper集群之间的网络故障,导致客户端无法继续与ZooKeeper集群通信。 客户端与ZooKeeper集群之间的通信时间过长,导致ZooKeeper集群认为该客户端已经死亡,从而使其会话过期。 ...
kerberos认证:生成keytab文件并实现java代码用keytab登录hadoop集群
最新发布
qq_41358574的博客
06-26 596
用户首先向认证服务器(AS)请求一个票据授权票(Ticket-Granting Ticket, TGT),然后使用 TGT 向票据授权服务器(Ticket-Granting Server, TGS)请求服务票据。Kerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。AS 是 Kerberos 认证过程中的第一个服务,负责验证用户的身份,并发放初始的 TGT。TGS 负责发放访问特定服务的票据。用户使用服务票据向目标服务进行认证,服务票据授权用户访问特定的服务。
kerberos认证_0578-5.15.1-Kerberos环境下Java应用程序认证超时异常分析
weixin_39993454的博客
12-03 381
作者:谢敏灵/辉少1.文档编写目的在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序长时间运行作业Kerberos不自动重新认证问题测试环境1.CM和CDH版本为5.15.12.操作系统版本为RedHat7.23.集群已启用Kerberos2.问题描述在使用JDK 8时,在Kerberos环...
Java api访问集群(Kerberos认证不通过)
热门推荐
lhxsir的博客
04-08 1万+
本地环境访问集群OK 生产环境却报错 查找日志信息,发现Kerberos认证的时候,域名解析出现问题?!! 登录生产环境ping 043节点,能ping通说明域名是能解析成IP地址的(有DNS服务器)蓝瘦香菇,明明报错是域名解析问题为什么能ping通呢? 于是把本地Java访问集群代码改成IP试一试,呵呵报错了 Caused by: org.ietf.jgss.GSSException: No v...
【FLinlk】Flink小坑之kerberos动态认证
九师兄
06-09 4572
1.概述 转载并且补充:Flink小坑之kerberos动态认证 2.官网 这段内容摘抄自官网:Kerberos Authentication Setup and Configuration 配置:Kerberos-based Authentication / Authorization Flink 通过 Kafka 连接器提供了一流的支持,可以对 Kerberos 配置的 Kafka 安装进行身份验证。只需在 flink-conf.yaml 中配置 Flink。像这样为 Kafka 启用 Kerbero
java证书过期时间_Java登录Kerberos认证过期问题
weixin_42119866的博客
02-17 1270
问题:最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期导致查询Hbase失败的问题。​ Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。spark2-submit \--master...
ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证
程序猿丶HLK
02-28 5151
注:在配置kerberos认证之前,必须先确保成功安装kerberos集群 安装教程:Centos7安装大数据安全认证组件Kerberos。 一、环境说明 环境说明 系统环境 集群节点分布 名称 版本 IP地址 ...
kerberosHBase访问Zookeeper的ACL问题
new Blog("gzh")
08-27 7416
最近公司HBase(CDH-4.6.0)遇到了一个麻烦问题,觉得有必要记录下整个解决的过程。问题起因用户在跑mapreduce任务,从hdfs读取文件想写入到hbase table的时候失败了(这是hbase提供的一种mapred能力)。这个问题发现在A环境(一个测试环境),自从启用了kerberos之后。运行了用户给的程序和自己写的sample之后,发现程序最后挂在NullPointerExcep
Spark 框架安全认证实现
hellozhxy的博客
11-28 2911
导言 随着大数据集群的使用,大数据的安全受到越来越多的关注一个安全的大数据集群的使用,运维必普通的集群更为复杂。 集群的安全通常基于kerberos集群完成安全认证。kerberos基本原理可参考:一张图了解Kerberos访问流程 Spark应用(On Yarn模式下)在安全的hadoop集群下的访问,需要访问各种各样的组件/进程,如ResourceManager,NodeManager,N...
java kerberos认证 过期_Kerberos安装使用
weixin_39531635的博客
12-25 537
1、安装方式一:【手动编译安装】# 1. 下载界面https://web.mit.edu/kerberos/dist/index.html# 2. 选择下载版本,如:1.17https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz# 3. 解压tar zxvf krb5-1.17.tar.gz# 3. 编译cd krb5-1.17/s...
flink学习之sql-client之踩坑记录
cclovezbf的博客
11-16 5693
注意当你使用这个模式运行一个流式查询的时候,Flink 会将结果持续的打印在当前的屏幕之上。如果这个流式查询的输入是有限的数据集, 那么Flink在处理完所有的数据之后,会自动的停止作业,同时屏幕上的打印也会相应的停止。--也可以不用hadoop 其实这里的时候就该反应过来,如果写过flink table api就知道连接hive的时候也是这两个参数。记住我们是搞flink遇到的这个问题,那么这个类和flink肯定相关,找到一个我们引入flinkjar最多的工程。网上的千篇一律是抄袭的。
Kerberos安全认证-连载9-访问Kerberos安全认证Hadoop
qq_32020645的博客
06-10 1745
当keberos客户端安装完成后自动会在C:\ProgramData\MIT\Kerberos5路径中创建krb5.ini配置文件,我们需要配置该文件指定Kerberos服务节点及域信息,配置如下,该文件配置可以参考Kerberos服务端/etc/krb5.conf文件。以上命令执行之后,在/root目录下会生成zhangsan.keytab文件,将该文件复制到IDEA项目中的resources资源目录中或者本地window固定的某个目录中,该文件用于编写代码时认证kerberos
kerberos: Clock skew too great (37) - PROCESS_TGS
玉汝于成
06-07 483
时钟同步问题:所有参与 Kerberos 验证系统的主机都必须在指定的最长时间(称为时钟相位差)内同步其内部时钟。针对这一要求,需要进行另一种 Kerberos 安全检查。如果任意两台参与主机之间的时间偏差超过了时钟相位差,则客户机请求会被拒绝。时钟相位差的最大缺省值为 300 秒(5 分钟)。出于安全原因,不要将时钟相位差增大到超过 300 秒。
java ugi确认框_在对hadoop进行任何操作之前,我应该调用ugi.checkTGTAndReloginFrom
weixin_42571280的博客
02-25 507
Hadoop提交者在这里!这是一个很好的问题。不幸的是,如果不深入研究应用程序的特定使用模式,很难给出明确的答案。相反,我可以提供一般准则,并描述Hadoop何时为您自动处理票证更新或从keytab重新登录,以及何时不这样做。Hadoop生态系统中Kerberos身份验证的主要用例是Hadoop的RPC框架,该框架使用SASL进行身份验证。Hadoop生态系统中的大多数守护进程都通过UserGro...
java ugi确认框_java – 我应该在hadoop上的每个动作之前调用ugi.checkTGTAndReloginFromKeytab()?...
weixin_34357232的博客
02-25 234
Hadoop提交者在这里!这是一个很好的问题.不幸的是,如果没有深入了解应用程序的特定使用模式,很难给出一个明确的答案.相反,我可以提供一般的指导方针,并描述何时Hadoop会为您自动处理更新或重新登录密码匙,何时不会.Hadoop生态系统中Kerberos认证的主要用例是Hadoop的RPC框架,它使用SASL进行认证. Hadoop生态系统中的大多数守护进程通过在进程启动时对UserGroup...
java no provider for_java.security.NoSuchProviderException: no such provider: BC 的问题解决...
weixin_42501270的博客
02-20 279
第一种方式1、修改以下两个文件%JDK_Home%\jre\lib\security\java.security%JRE_Home%\jre\lib\security\java.security追加最后一行security.provider.1=sun.security.provider.Sunsecurity.provider.2=sun.security.rsa.SunRsaSignsecu...
java连接impala,jdbc,带kerberos认证登录
LeoHan
05-06 1542
添加依赖: <dependency> <groupId>com.cloudera.impala</groupId> <artifactId>jdbc</artifactId> <version>2.5.31</version> ...
java连接hbase,maven项目
04-06
如何用Java连接HBase和使用Maven管理项目? 要连接HBase和使用Maven来管理项目,你需要以下步骤: 1.安装和配置HBase:在你的机器上安装HBase,并确保HBase配置正确。 2.创建Maven项目:在你的IDE中创建一个新的Maven项目。 3.添加依赖项:在Maven项目中添加HBase和Hadoop的依赖项,以便能够正确连接HBase。 4.连接HBase:使用Java HBase API连接HBase,并执行相关操作,例如读取和写入数据。你可以在HBaseJava API文档中找到相关信息。 例子代码: ``` import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.hadoop.hbase.client.Connection; import org.apache.hadoop.hbase.client.ConnectionFactory; import org.apache.hadoop.hbase.client.Table; public class HBaseExample { public static void main(String[] args) { Configuration config = HBaseConfiguration.create(); config.set("hbase.zookeeper.quorum", "localhost"); config.set("hbase.zookeeper.property.clientPort", "2181"); Connection connection = ConnectionFactory.createConnection(config); Table table = connection.getTable(TableName.valueOf("mytable")); // do some operations on the table table.close(); connection.close(); } } ``` 这是一个使用Java HBase API连接HBase的简单示例。在代码中,首先我们创建一个HBaseConfiguration并设置一些必要的参数,例如HBase ZooKeeper的位置和端口号。然后,我们使用ConnectionFactory.createConnection创建一个HBase连接。接下来,我们获取一个Table对象并执行一些操作。最后,我们关闭Table和连接对象。 希望这可以帮助你了解如何使用Java连接HBase和使用Maven管理项目。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值