Hadoop UserGroupInformation详解

已于 2022-04-03 11:27:52 修改
阅读量6.6k 收藏 12
点赞数 3
文章标签: hadoop
于 2022-04-03 11:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gezooo/article/details/123933232
版权

下面大概了解下面Java的认证相关框架

JAAS 认证和授权框架,只要负责用户的认证和权限。

SASL client 和 server之间认证的框架

GSS 是sasl的一个provider,也就是实现了sasl框架

参考JAAS/GSS-API/SASL/Kerberos简介 | NoSQL漫谈

网上关于high level介绍的还比较多,可以搜索一些,但是要真正理解UserGroupInfomration的功能,还是需要研究 UserGroupInformaiton在 hadoop/hive等大数据系统中如何使用的。

介绍UserGroupInformation 之前,应该了解一下 JaaS框架里 Subject这个概念,简单理解就是代表了一个用户。当通过JAAS登录成功之后,会产生一个subject, 里面包含了一组 Principal, 和其他凭证信息,不如如果是Kerbos认证的话,就会有一个Kerbos身份的principal, 以及把tgt等Credentials的信息放到  privCredentials中。

CASE ONE, 客户端和服务端建立连接

当client 跟Server端建立连接的时候,一般会使用

UserGroupInfomation.doAs(action {

   建立连接的代码

}) 

doAs就会使用UserGroupInformation当前subject执行

这样在建立连接的过程中,就是用了登录后的subject 来建立链接,因为subject包含了kerbos的Principal, 并且拥有合法的Credentials,  sasl client和 sasl server在 建立连接的过程中就会使用到。 真实的底层使用的是Gss的实现。

doAs 里面的实现逻辑

@InterfaceAudience.Public
  @InterfaceStability.Evolving
  public <T> T doAs(PrivilegedAction<T> action) {
    if (LOG.isDebugEnabled()) {
      LOG.debug("PrivilegedAction [as: {}][action: {}]", this, action,
          new Exception());
    }
    //使用当前subject执行action,也就是建立连接的时候使用登录过的subject
    return Subject.doAs(subject, action);
  }

当然,如果没有使用UserGroupInformation.doAs的时候,

建立sasl连接的时候使用的就是当前安全上线文里的subject, 用户已经使用Jaas登录过的,登录之后,subject的信息已经存在AccessConect中了,所以也会使用登录后的subject。

CASE TWO 在服务端执行ACTION

连接到服务端之后,一般服务端有两个UGI,一个是服务本身的UGI,比如NN 一般是hdfs, 或者MetaStore, 一般是hive。 hdfs或者 hive用户是服务里的超级用户,客户端一般创建连接之后,执行的操作的用户是 client的用户,这时候就会用到UserGroupInformation里面 proxyUser的概念。

proxyUser顾名思义,就是代理一个用户执行操作。切记,被代理的用户在服务端是没有通过JAAS 认证过的用户,只是给一个用户名而已。 不过这个用户在客户端已经通过JAAS认证过了。

创建代理用户的代码如下:

/**
   * Create a proxy user using username of the effective user and the ugi of the
   * real user.
   * @param user
   * @param realUser
   * @return proxyUser ugi
   */
  @InterfaceAudience.Public
  @InterfaceStability.Evolving
  public static UserGroupInformation createProxyUser(String user,
      UserGroupInformation realUser) {
    if (user == null || user.isEmpty()) {
      throw new IllegalArgumentException("Null user");
    }
    if (realUser == null) {
      throw new IllegalArgumentException("Null real user");
    }
    Subject subject = new Subject();
    Set<Principal> principals = subject.getPrincipals();
    principals.add(new User(user, AuthenticationMethod.PROXY, null));
    principals.add(new RealUser(realUser));
    return new UserGroupInformation(subject);
  }

代理用户的UserGroupInformation里的subject是创建出来的,里面设置了一个 User的principal, 以及一个 RealUser的principal. 这个RealUser的principal是拥有kerbos认证过的,拥有kerbos秘钥。

代理用户的 subject里,没有任何秘钥信息。

如果用户被代理了,一般在服务端执行action的时候都会使用下面格式

UserGroupInformation.doAs

这样在需要权限认证的地方,就获取到的是代理用户的用户名。

切记,不能用代理用户创建 sasl的connection, 因为没有凭证,会失败的。

获取当前用户

UserGroupInformation.getCurrentUser

/**
   * Return the current user, including any doAs in the current stack.
   * @return the current user
   * @throws IOException if login fails
   */
  @InterfaceAudience.Public
  @InterfaceStability.Evolving
  public static UserGroupInformation getCurrentUser() throws IOException {
    ensureInitialized();
    AccessControlContext context = AccessController.getContext();
    Subject subject = Subject.getSubject(context);
    if (subject == null || subject.getPrincipals(User.class).isEmpty()) {
      return getLoginUser();
    } else {
      return new UserGroupInformation(subject);
    }
  }

从安全上下文获取当前的subject, 如果没有,就获取 getLoginUser, 这时候就触发登录操作。

注意1  里面有一个判断条件是 subject.getPrincipals(User.class).isEnpty()

也就是只有subject里有User这种principals才算是登录过的。

注意2,第一行执行了ensuerInitialized(),这个方法很重要,初始化了hadoop的安全环境.

登录

/**
   * Get the currently logged in user.  If no explicit login has occurred,
   * the user will automatically be logged in with either kerberos credentials
   * if available, or as the local OS user, based on security settings.
   * @return the logged in user
   * @throws IOException if login fails
   */
  @InterfaceAudience.Public
  @InterfaceStability.Evolving
  public static UserGroupInformation getLoginUser() throws IOException {
    ensureInitialized();
    UserGroupInformation loginUser = loginUserRef.get();
    // a potential race condition exists only for the initial creation of
    // the login user.  there's no need to penalize all subsequent calls
    // with sy
最低0.47元/天 解锁文章
gezooo
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Hadoop UserGroupInformation 的那些 login
wujun8的专栏
09-24 1万+
loginUserFromSubject loginUserFromKeytab getUGIFromTicketCache ugi password keytab ticket -Djava.security.krb5.conf="$APP_HOME"/_krb/krb5.conf hive No groups bug
Hadoop详解HDFS架构
02-24
Hadoop包含三大基本组件:HDFS——分布式文件系统,用于数据存储YARN——统一资源管理和调度系统,用于管理集群的计算资源并根据计算框架的需求进行调度,支持包含MapReduce、Spark、Flink等多种计算框架。...
HDFS出现UserGroupInformation错误解决办法
jeremy_louis的博客
11-07 568
运行一个很简单的程序,eclipse报错如下: ERROR security.UserGroupInformation: PriviledgedActionException as:root cause:java.net.UnknownHostE 只需要修改Windows下的hosts文件即可。
【kerberos】hadoop集群使用keytab认证的逻辑
lisacumt的专栏
03-08 1102
hadoop集群使用keytab认证的逻辑
Hadoop认证Kerberos--UserGroupInformation.doAs
热门推荐
虾哔哔的博客
11-01 1万+
在访问带有kerberos认证的hadoop生态圈服务时,必须带上keytab文件认证。 常用的代码: String userCode="user1"; String keytabPath = "./user1.keytab"; System.setProperty("java.security.krb5.kdc", kdc); System.setProperty("java.secur...
UserGroupInformation Source Code Analysis
houzhizhen的专栏
03-17 623
UserGroupInformation is used in the following way.final UserGroupInformation loginUgi = UserGroupInformation.getLoginUser();The getLoginUser method is simple. public synchronized static UserGroupIn
hadoop2.6 UserGroupInformation 获取用户名
亚瑟的守护的专栏
12-30 6706
Hadoop的客户端是通过FileSystem类操作hdfs的。 FileSystem.get()方法获取FileSystem对象。 public static FileSystem get(final URI uri, final Configuration conf, final String user) throws IOException, InterruptedE
02 ExecutorBackend blocked at “UserGroupInformation.doAs”
970655147的专栏
04-11 1045
前几天搭建spark集群的时候, 然后跑WordCount的时候碰到了这样的一个问题 集群启动成功之后, 向集群提交任务, 然后 driver程序跑到需要taskScheduler为taskSet分配资源的时候, 找不到可用的executor 然后 导致driver程序这边任务执行不了, 直到超时爆出了异常, 然后只好 shutdown driver程序, 最后查了查execut
Apache Hadoop版本详解
09-15
本文总结了ApacheHadoop和Cloudera Hadoop的版本衍化过程,并给出了选择Hadoop版本的一些建议。感兴趣的朋友一起看看吧
hadoop详解
04-15
hadoop详解,云计算,大数据详解,文档
Hadoop技术详解.Hadoop Operation
11-01
扫描完整版 Hadoop技术详解.Hadoop Operation Hadoop技术详解.Hadoop Operation
浅谈User Information List
dingtu7036的专栏
05-01 315
User Information List】用于查看一个site collection所有可以访问的用户信息。一个site collection只有一个User Information List表。 【查看方法】有3种方式查看1.使用“/_catalogs/users/simple.aspx”或者“/_catalogs/users/detail.aspx”如下 2.使用Pow...
Client 和 NN 创建Connection的详解(二)UserGroupInformation是如何传递的
gezooo的专栏
04-03 327
Client.Connection.setupIOStreams() --->发送连接上下文 writeConnectionContext(remoteId, authMethod); 发送的 IpcConnectionContextProto 里包含了UserGroupInformation /** * Spec for UserInformationProto is specified in ProtoUtil#makeIpcConnectionContext */ m
hadoop 2.6.0 安全问题--UserGroupInformation
houzhizhen的专栏
01-25 3388
UserGroupInformation可以使用任何你想拥有权限的用户来操作集群。 在UserGroupInformation的loginUserFromSubject方法如下,首先系统获到系统用户,然后再判断是否设置环境变量HADOOP_PROXY_USER,或者系统属性HADOOP_PROXY_USER,如果设置那么loginUser就为HADOOP_PROXY_USER,代码如下: @I
hadoop】关于ERROR security.UserGroupInformation
moxiaomomo的专栏
01-23 1万+
14/01/23 20:49:47 ERROR security.UserGroupInformation: PriviledgedActionException as:hadoop (auth:SIMPLE) cause:java.io.IOException: Failed on local exception: com.google.protobuf.InvalidProtocolBuffe
eclipse hadoop ERROR [main] security.UserGroupInformation
探索地理之源 分享GIS价值
07-26 1940
2015-07-26 23:49:05,594 ERROR [main] security.UserGroupInformation (UserGroupInformation.java:doAs(1494)) - PriviledgedActionException as:cau (auth:SIMPLE) cause:org.apache.hadoop.mapreduce.lib.input.InvalidInputException: Input path does not exist: file:/
Hadoop中的ProxyUser
Ynzo的博客
07-11 8768
PROXYUSER介绍和应用场景 Hadoop2.0版本开始支持ProxyUser的机制。含义是使用User A的用户认证信息,以User B的名义去访问hadoop集群。对于服务端来说就认为此时是User B在访问集群,相应对访问请求的鉴权(包括HDFS文件系统的权限,YARN提交任务队列的权限)都以用户User B来进行。User A被认为是superuser(这里super user并不等...
Hadoop3:MapReduce中的Partition原理及自定义Partition
最新发布
Brave_heart4pzj的博客
06-19 292
Hadoop
hadoop配置详解
09-03
Hadoop是一个开源的分布式计算平台,可以用于处理大规模数据的存储和分析。Hadoop的配置是非常重要的,以下是Hadoop配置的详细解释。 Hadoop的配置主要包括两个方面:Hadoop的核心配置和Hadoop的环境配置。核心配置指的是Hadoop的基本设置,包括Hadoop的文件系统、节点管理、任务调度等。环境配置则是指Hadoop运行所需要的环境变量和参数设置。 Hadoop的核心配置文件是hadoop-env.sh、core-site.xml、hdfs-site.xml、mapred-site.xml和yarn-site.xml。hadoop-env.sh是Hadoop运行所需要的环境变量,例如JAVA_HOME和HADOOP_HOME等。core-site.xml是Hadoop的核心配置文件,其中会设置Hadoop的文件系统类型、默认端口、用户访问权限等。hdfs-site.xml是Hadoop分布式文件系统(HDFS)的配置文件,其中包括HDFS的副本数量、块大小、心跳时间间隔等。mapred-site.xml和yarn-site.xml分别是Hadoop的MapReduce和YARN的配置文件,其中包括任务调度方式、容器分配策略等。 除了核心配置文件外,还有一些辅助配置文件,用于设置Hadoop的日志、日志级别等。例如,log4j.properties用于配置Hadoop的日志记录行为,hadoop-metrics2.properties用于配置Hadoop的度量指标。 在配置Hadoop时,还需要考虑网络拓扑、硬件资源、安全性等因素。可以通过配置rack awareness、tasktracker的数量、内存等来优化Hadoop的性能和可靠性。 总之,Hadoop的配置详解涵盖了Hadoop的核心配置和环境配置。通过合理配置,可以使Hadoop运行在分布式集群上,有效地处理大规模数据的存储和分析任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值