Client 和 NN 创建Connection的详解(一)先尝试TOKEN的方式,再使用KERBOS

最新推荐文章于 2024-03-19 07:30:00 发布
最新推荐文章于 2024-03-19 07:30:00 发布
阅读量544 收藏
点赞数
文章标签: hadoop rpc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gezooo/article/details/123925812
版权


Client
private Connection getConnection(ConnectionId remoteId,
      Call call, int serviceClass, AtomicBoolean fallbackToSimpleAuth)


   -->
   connection.setupIOstreams(fallbackToSimpleAuth);

      -->  切换realUser的UGI建立Sasl连接
      UserGroupInformation ticket = remoteId.getTicket();
      if (ticket != null) {
        final UserGroupInformation realUser = ticket.getRealUser();
        if (realUser != null) {
          ticket = realUser;
        }
      }
      
      --> 创建socket
      setupConnection()
      ipcStreams = new IpcStreams(socket, maxResponseLength);
      
      
      先发送connection header
          /**
         * Write the connection header - this is sent when connection is established
         * +----------------------------------+
         * |  "hrpc" 4 bytes                  |      
         * +----------------------------------+
         * |  Version (1 byte)                |
         * +----------------------------------+
         * |  Service Class (1 byte)          |
         * +----------------------------------+
         * |  AuthProtocol (1 byte)           |      
         * +----------------------------------+
         */
      writeConnectionHeader(ipcStreams);
      
      如果kerbos enabled, 使用Sasl
      //boolean trySasl = UserGroupInformation.isSecurityEnabled() ||
      //                (ticket != null && !ticket.getTokens().isEmpty());
      //this.authProtocol = trySasl ? AuthProtocol.SASL : AuthProtocol.NONE;
      
      if (authProtocol == AuthProtocol.SASL) {
            try {
              authMethod = ticket
                  .doAs(new PrivilegedExceptionAction<AuthMethod>() {
                    @Override
                    public AuthMethod run()
                        throws IOException, InterruptedException {
                      创建SaslConnection
                      return setupSaslConnection(ipcStreams);
                    }
                  });
      
     


private synchronized AuthMethod setupSaslConnection(IpcStreams streams)
        throws IOException {
      // Do not use Client.conf here! We must use ConnectionId.conf, since the
      // Client object is cached and shared between all RPC clients, even those
      // for separate services.
      saslRpcClient = new SaslRpcClient(remoteId.getTicket(),
          remoteId.getProtocol(), remoteId.getAddress(), remoteId.conf);
      return saslRpcClient.saslConnect(streams);
    }
    
类SaslRpcClient

  /**
   * Do client side SASL authentication with server via the given IpcStreams.
   *
   * @param ipcStreams
   * @return AuthMethod used to negotiate the connection
   * @throws IOException
   */
  public AuthMethod saslConnect(IpcStreams ipcStreams) throws IOException {
    // redefined if/when a SASL negotiation starts, can be queried if the
    // negotiation fails
    authMethod = AuthMethod.SIMPLE;

    发送一个negotiateRequest, 主要目的是确认服务端也是Sasl AuthProtocol
    sendSaslMessage(ipcStreams.out, negotiateRequest);
    // loop until sasl is complete or a rpc error occurs
    boolean done = false;
    
    //在一个循环里,直到建立好连接
    do {
      ByteBuffer bb = ipcStreams.readResponse();

      RpcWritable.Buffer saslPacket = RpcWritable.Buffer.wrap(bb);
      RpcResponseHeaderProto header =
          saslPacket.getValue(RpcResponseHeaderProto.getDefaultInstance());
      switch (header.getStatus()) {
        case ERROR: // might get a RPC error during 
        case FATAL:
          throw new RemoteException(header.getExceptionClassName(),
                                    header.getErrorMsg());
        default: break;
      }
      
      如果不是SASL的,就报错,通过特殊的callId判定。 -33
      if (header.getCallId() != AuthProtocol.SASL.callId) {
        throw new SaslException("Non-SASL response during negotiation");
      }
      RpcSaslProto saslMessage =
          saslPacket.getValue(RpcSaslProto.getDefaultInstance());
      if (saslPacket.remaining() > 0) {
        throw new SaslException("Received malformed response length");
      }
      // handle sasl negotiation process
      RpcSaslProto.Builder response = null;
      switch (saslMessage.getState()) {
        case NEGOTIATE: {
        
          选择一个可用的Auth, 如果NN是kerbos,那么会返回 TOKEN和KERBOS两种
          如果第一次连接,UserGroupInformation的tokens是空的,所以第一次选择的saslAuthType 就是KERBOS
          当客户端获取了Token, 就会设置到UserGroupInformation里,再次建立连接的时候,就能选择 TOKEN
          参考后面对selectSaslClient 方法的解读
          // create a compatible SASL client, throws if no supported auths,
          SaslAuth saslAuthType = selectSaslClient(saslMessage.getAuthsList());
          // define auth being attempted, caller can query if connect fails
          authMethod = AuthMethod.valueOf(saslAuthType.getMethod());
          
          byte[] responseToken = null;
          if (authMethod == AuthMethod.SIMPLE) { // switching to SIMPLE
            done = true; // not going to wait for success ack
          } else {
            byte[] challengeToken = null;
            if (saslAuthType.hasChallenge()) {
              // server provided the first challenge
              challengeToken = saslAuthType.getChallenge().toByteArray();
              saslAuthType =
                  SaslAuth.newBuilder(saslAuthType).clearChallenge().build();
            } else if (saslClient.hasInitialResponse()) {
              challengeToken = new byte[0];
            }
            responseToken = (challengeToken != null)
                ? saslClient.evaluateChallenge(challengeToken)
                    : new byte[0];
          }
          response = createSaslReply(SaslState.INITIATE, responseToken);
          response.addAuths(saslAuthType);
          break;
        }
        case CHALLENGE: {
          if (saslClient == null) {
            // should probably instantiate a client to allow a server to
            // demand a specific negotiation
            throw new SaslException("Server sent unsolicited challenge");
          }
          byte[] responseToken = saslEvaluateToken(saslMessage, false);
          response = createSaslReply(SaslState.RESPONSE, responseToken);
          break;
        }
        case SUCCESS: {
          // simple server sends immediate success to a SASL client for
          // switch to simple
          if (saslClient == null) {
            authMethod = AuthMethod.SIMPLE;
          } else {
            saslEvaluateToken(saslMessage, true);
          }
          done = true;
          break;
        }
        default: {
          throw new SaslException(
              "RPC client doesn't support SASL " + saslMessage.getState());
        }
      }
      if (response != null) {
        sendSaslMessage(ipcStreams.out, response.build());
      }
    } while (!done);
    return authMethod;
  }
  
  
  

/**
   * Instantiate a sasl client for the first supported auth type in the
   * given list.  The auth type must be defined, enabled, and the user
   * must possess the required credentials, else the next auth is tried.
   * 
   * @param authTypes to attempt in the given order
   * @return SaslAuth of instantiated client
   * @throws AccessControlException - client doesn't support any of the auths
   * @throws IOException - misc errors
   */
  private SaslAuth selectSaslClient(List<SaslAuth> authTypes)
      throws SaslException, AccessControlException, IOException {
    SaslAuth selectedAuthType = null;
    boolean switchToSimple = false;
    for (SaslAuth authType : authTypes) {
      if (!isValidAuthType(authType)) {
        continue; // don't know what it is, try next
      }
      AuthMethod authMethod = AuthMethod.valueOf(authType.getMethod());
      if (authMethod == AuthMethod.SIMPLE) {
        switchToSimple = true;
      } else {
        *******************重点在这个方法里*************************
        saslClient = createSaslClient(authType);
        if (saslClient == null) { // client lacks credentials, try next
          continue;
        }
      }
      selectedAuthType = authType;
      break;
    }
    if (saslClient == null && !switchToSimple) {
      List<String> serverAuthMethods = new ArrayList<String>();
      for (SaslAuth authType : authTypes) {
        serverAuthMethods.add(authType.getMethod());
      }
      throw new AccessControlException(
          "Client cannot authenticate via:" + serverAuthMethods);
    }
    if (LOG.isDebugEnabled() && selectedAuthType != null) {
      LOG.debug("Use " + selectedAuthType.getMethod() +
          " authentication for protocol " + protocol.getSimpleName());
    }
    return selectedAuthType;
  }
  
  
  
/**
   * Try to create a SaslClient for an authentication type.  May return
   * null if the type isn't supported or the client lacks the required
   * credentials.
   * 
   * @param authType - the requested authentication method
   * @return SaslClient for the authType or null
   * @throws SaslException - error instantiating client
   * @throws IOException - misc errors
   */
  private SaslClient createSaslClient(SaslAuth authType)
      throws SaslException, IOException {
    String saslUser = null;
    // SASL requires the client and server to use the same proto and serverId
    // if necessary, auth types below will verify they are valid
    final String saslProtocol = authType.getProtocol();
    final String saslServerName = authType.getServerId();
    Map<String, String> saslProperties =
      saslPropsResolver.getClientProperties(serverAddr.getAddress());  
    CallbackHandler saslCallback = null;
    
    final AuthMethod method = AuthMethod.valueOf(authType.getMethod());
    switch (method) {
      优先尝试TOKEN,
      case TOKEN: {
        //如果UserGroupInformaiton的subject中已经有了对应server的token了,那么久会返回一个合法的token。
        否则没有token
        Token<?> token = getServerToken(authType);
        if (token == null) {
          LOG.debug("tokens aren't supported for this protocol" +
              " or user doesn't have one");
          ************************* 重点,如果token为空,返回一个null, 会重新尝试 KERBOS的方式创建***********************
          return null;
        }
        saslCallback = new SaslClientCallbackHandler(token);
        break;
      }
      case KERBEROS: {
        if (ugi.getRealAuthenticationMethod().getAuthMethod() !=
            AuthMethod.KERBEROS) {
          LOG.debug("client isn't using kerberos");
          return null;
        }
        String serverPrincipal = getServerPrincipal(authType);
        if (serverPrincipal == null) {
          LOG.debug("protocol doesn't use kerberos");
          return null;
        }
        if (LOG.isDebugEnabled()) {
          LOG.debug("RPC Server's Kerberos principal name for protocol="
              + protocol.getCanonicalName() + " is " + serverPrincipal);
        }
        break;
      }
      default:
        throw new IOException("Unknown authentication method " + method);
    }

    String mechanism = method.getMechanismName();
    if (LOG.isDebugEnabled()) {
      LOG.debug("Creating SASL " + mechanism + "(" + method + ") "
          + " client to authenticate to service at " + saslServerName);
    }
    return saslFactory.createSaslClient(
        new String[] {mechanism}, saslUser, saslProtocol, saslServerName,
        saslProperties, saslCallback);
  }

gezooo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【hadoop】Client cannot authenticate via:[TOKEN, KERBEROS] 的错误 protocol doesn‘t use kerberos
九师兄
07-02 1838
我远程访问带kerberos认证的集群。在进行yarn认证的时候报错。大概这样,然后拷贝对方的文件,只拷贝了一台机器的然后认证的时候如下 这是Hdfs认证经过测试发现,没有问题然后紧接着操作yarn 想获取执行的任务信息 直接不认证获取yarn客户端和,这样认证的客户端都无法,获取yarn信息报错信息如下根据博客:hadoop kerberos java客户端报错背景使用hadoop java客户端访问带有kerberos认证的hadoop集群时,出现了的错误。输出日志 分析上面的日志中有一句可以说明它是已
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
Kerberos常见问题
wank1259162的博客
01-11 1万+
Error Messages to Fear 参考地址:Introduction · Hadoop and Kerberos: The Madness Beyond the Gate Security error messages appear to take pride in providing limited information. In particular, they are usually some generic IOException wrapping a generic securit
HDFSRPC安全认证Kerberos篇
最新发布
行路中
03-19 846
本文主要阐述HDFSRPC安全认证相关的实现。主要介绍Kerberos相关的实现。
记一次 【Unknown thread id: XXX】 的排查
老艮头的后知后觉
03-15 1万+
背景 线上一个服务偶尔会产生【Unknown thread id: XXX】异常 异常堆栈 org.springframework.jdbc.UncategorizedSQLException: ### Error updating database. Cause: java.sql.SQLException: Unknown thread id: 64278282 ### The error...
虚拟机CentOS6.5修改静态IP(NAT模式)+报错:Bringing up interface eth0:  Error: Unknown connection
蓝关故人
08-25 3138
上一篇说到CentOS已经获取到动态ip,可以通过远程工具连接到Linux。 但是存在新的问题,每次重启虚拟机的Linux时,都会分配一次ip,导致工具连接的时候每次都要输入一次ip,而且运行工程的时候,不能ip老变啊,尤其安装了多个操作系统的时候,不便于ip管理。 因此,实有必要将分配动态ip的方式改为使用静态ip。 1.修改网络服务配置文件 vi /etc/sysconfig/net...
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
详解struts2的token机制和cookie来防止表单重复提交
10-19
主要介绍了详解struts2的token机制和cookie来防止表单重复提交的相关资料,需要的朋友可以参考下
详解Node.js使用token进行认证的简单示例
01-21
本文只介绍简单的应用,关于json web token的具体介绍以及原理请参考阮一峰老师的JSON Web Token 入门教程。 使用的Node框架是koa2,前端发送ajax请求使用axios 首创建工程目录: static中存放静态资源,views...
Linux 6.x配置中一系列的“诡异”错误
syp_net的博客
11-08 834
Linux 6.x配置中一系列“诡异”的错误 在Linux 6.x系统中,当使用以下命令重启网络服务时, sudo service network restart 如何插入一段漂亮的代码片 去博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片. // An highlighted block var foo = 'bar'; 新的改变 我们对Markdown编辑器进行了一些功能
EAS BOS 默认JDK1.6发送https请求缺少TLSv1.2证书导致接口报错
洛洛
03-20 748
EAS BOS 解决JDK1.6不支持TLS1.2导致接口调用失败问题
java sasl例子_SaslClient
weixin_35956312的博客
02-28 493
执行SASL身份验证作为客户端。诸如LDAP之类的协议库获取此类的实例,以执行由特定SASL机制定义的认证。 调用SaslClient实例过程的方法,并根据SaslClient实现的SASL机制创建响应。 当认证进行时,该实例封装了SASL客户端认证交换的状态。以下是LDAP库如何使用SaslClient 。 它首得到一个SaslClient的实例:SaslClient sc = Sasl.cr...
二十三、mysql中kill不掉的sql语句的原因
YABUSHAN
02-05 3449
在mysql中有两个kill命令: 一个是kill query +线程id,表示终止这个线程中正在执行的语句; 一个是kill connection +线程id,这里connection 可缺省,表示断开这个线程的连接,当然如果线程有语句正在执行,也是要停止正在执行的语句的。 收到kill 命令后,线程做什么? 当对一个表做增删改查操作时,会在表上加MDL读锁;如果线程被kill的时候,...
flink任务常见报错及解决办法
热门推荐
yiweiyi329的博客
08-06 3万+
1、flink任务无法从checkpoint启动 场景一、flink任务运行过程中出现异常时(如checkpoint失败次数超过配置阈值),自动重启出现算子异常,无法恢复正常运行。 场景二、手动下线任务,选择上一次的checkpoint启动时,出现算子异常,无法启动。 报错如下: java.lang.Exception: Exception while creating StreamOperatorStateContext. at org.apache.flink.streaming.api.
在配置静态IP的时候遇到 :bringing up interface eth0 : error unknown connection
alpa
08-12 1762
这是动态ip配置成功的结果 接下来切换到root用户来配置静态的 按照静态ip的配置方法配置好文件后(具体过程这里就不多加说明) 然后保存退出 当我们重启网卡的时候问题来了(因为本人有点强迫症,多次重启了,结果还是失败) 是时候放大招了,废话不多说看图就是了,有图有真相 居然就这样阴错阳差的得了,见鬼了,不信邪,次测试下网络是否连接上 哎呀我妈呀,真是活见鬼了!!!! 玩转包管理工具 炫酷的提示符 ...
大数据常见错误解决方案(转载)
defang0693的博客
02-24 3027
1、用./bin/spark-shell启动spark时遇到异常:java.net.BindException: Can't assign requested address: Service 'sparkDriver' failed after 16 retries! 解决方法:add export SPARK_LOCAL_IP="127.0.0.1" to spark-env....
client_secret_jwt 创建 jwt token
08-18
创建一个 client_secret_jwt token,你需要遵循一些步骤。首,你需要获取 client_id 和 client_secret,这是你的应用程序在身份提供者注册时分配的凭据。接下来,你需要使用这些凭据生成一个 JSON Web Token ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值