Hadoop安全基于Kerberos的SASL详解续

已于 2022-05-08 12:42:02 修改
阅读量963 收藏 2
点赞数
文章标签: hadoop 大数据 big data
于 2022-05-08 12:36:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gezooo/article/details/124645913
版权
本文探讨了在Hadoop中遇到的Kerberos TGT过期问题,分析了Kerberos登录、SASL连接过程,解释了HiveServer2和RBF如何处理TGT更新,并通过分析源码揭示了服务端与客户端在SASL连接中的不同角色。通过深入理解,解决了服务端与metastore建立连接失败的故障。
摘要由CSDN通过智能技术生成

工作上由于需要给hive的metastore做逻辑元数据以及支持水平扩展,在waggle-dance的基础上增强了kerberos的功能,上线之后发现运行一天之后,请求失败,报GssException no tgt.

waggle-dance在启动的时候,我调用过了

UserGroupInformation.loginFromKeyTab() 方法, 登录之后,会生成一个全局的loginUser, 后面所有调用UserGroupInformation的地方都会获取到登录过的用户。

登录成功之后,loginUser的subject的privCredcredentials里会有KerberosTicket, 也会有一个KeyTab.

最开始我的疑问是为什么client和跟waggle-dance建立正常的sasl连接,但是waggle-dance却无法跟metastore建立连接呢?

经过服务端debug(可以百度一下,在服务端启动的时候增加一些JVM参数), 确定了client确实是可以跟waggle-dance建立正常的连接的,报错的日志已经是给waggle-dance跟metastore建立sasl连接失败了。而且发现出现异常的时候,loginUser的subject里的privCredients里的KerberosTicket都不见了。

又增加了一个疑问,这些ticket是什么时候被删除的呢??

带着这些问题开始找看案,首先是研究了一下类似具有类似代理功能的服务,看看他们是如何做的,于是研究了HiveServer2, RBF。 猜测应该是有一个后台线程定期的更新这些Ticket.

又或者是因为是有了KeyTab了,是不是不需要定期更新Tgt了,底层sasl会自动的获取?

最低0.47元/天 解锁文章
gezooo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kerberos认证机制
08-24
1.集群中密钥的管理、分发 2.kerberos的整个工作流程以及认证机制
RHCA教程:rhe423-8 LDAP基于Kerberossasl认证
weixin_34324081的博客
07-19 137
LDAP基于kerberossasl认证 环境:默认kerberos服务器已经建立 KDC:server1.example.com:192.168.32.31 LDAP服务器:...
(二)Kafka 安全之使用 SASL 进行身份验证 —— SASL/Kerberos 验证
最新发布
流华追梦的专栏
06-25 991
接上一篇《(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置》,本文从第四节开始。
Hadoop安全认证
loser与你
08-26 1342
Hadoop安全认证  Hadoop中采用了SASL(Simple Authentication and Security Layer,简单层和安全层)进行安全认证,具体方法涉及DIGEST-MD5和Kerberos两种。 1.SASL  SASL是一种用来扩充C/S模式验证能力的认证机制,核心思想是把用户认证和安全传输从应用程序中隔离出来。  SASL支持多种认证方法,主要包括以下几种:  (1)ANONYMOUS:无须认证  (2)PLAIN:最简单但危险的机制,信息采用明文密码方式传输  (3)DIG
Kafka3.4 SASL/kerberos/ACL 证以及 SSL 加密连接
青冬的博客
08-07 2482
kafka sasl 搭建,以及 SSL 传输加密搭建,最新版本 kafka3.4 实操。 其他节点只需要安装执行
Hadoop部署和配置Kerberos安全认证
05-17
### Hadoop部署和配置Kerberos安全认证 #### 一、Kerberos认证系统简介 Kerberos是一种网络认证协议,其设计目标是通过密钥分发中心(Key Distribution Center, KDC)来管理用户和服务之间的认证过程。Kerberos在...
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
从零学习Kerberos安全认证机制,并和Hadoop、YARN、HIVE进行集成,通过知识点 + 案例教学法帮助小白快速掌握Hadoop集成Kerberos安全技术。 课程亮点 1,专项攻破Hadoop安全配置。 2,生动形象,化繁为简,讲解通俗...
hadoop快速集成kerberos认证
01-13
Hadoop作为一个分布式计算框架,为了保障数据的安全性,常常需要集成Kerberos认证系统。Kerberos是一种网络认证协议,它提供了强大的身份验证服务,确保只有授权的用户和服务可以访问资源。本压缩包文件包含了实现...
Hadoop新MapReduce框架Yarn详解
03-04
对于业界的大数据存储及分布式处理系统来说,Hadoop是耳熟能详的卓越开源分布式文件存储及处理框架,对于Hadoop框架的介绍在此不再累述,读者可参考Hadoop官方简介。使用和学习过老Hadoop框架(0.20.0及之前版本)的...
kerberos+hadoop搭建
04-01
Kerberos 是一个身份验证协议,用于提供安全的身份验证和票据授予机制。Hadoop 是一个大数据处理框架,用于处理和存储大量数据。下面将详细介绍 Kerberos+Hadoop 搭建的过程。 环境准备 在开始搭建 Kerberos+...
hadoop生态的kerberos认证系列3-hbase
tiki的博客
12-23 1381
hadoop生态的kerberos认证系列3-hbase一、准备工作二、hbase配置1.修改hbase-site.xml文件2.修改habse-env.sh文件3.新增hbase-jaas.conf文件4.修改zoo.cfg三、验证1.启动2.验证 一、准备工作 停掉hadoop集群; 安装好kerberos认证服务; 二、hbase配置 1.修改hbase-site.xml文件 添加如下内容: <property> <name>hbase.master.kerberos.
Hadoop集群部署Hbase并开启kerberos
笔尖的痕的专栏
09-28 2375
系统: LXC - CentOS6.3 x86_64 Hadoop版本: cdh5.0.1(manmual安装,未安装cloudera-manager相关) 集群现有环境:node*6;jdk1.7.0_55;已安装zookeeper、hdfs(HA)、yarn、historyserver和httpfs并已开启kerberos(kdc部署在cluster的一个节点上)。 所需安装
java sasl例子_使用 GSSAPI 和 SASL 进行 Kerberos 验证的示例配置
weixin_36128925的博客
03-04 750
使用 GSSAPI 和 SASL 进行 Kerberos 验证的示例配置为目录服务器配置 Kerberos 的过程可能非常复杂。应该首先参考 Kerberos 文档。要获取更多帮助,请通过以下示例过程了解应该执行哪些步骤。但是请注意,此过程仅仅是一个示例。您必须对过程进行相应修改,使其符合您自己的配置和环境。可以在《System Administration Guide: Security Ser...
hadoop源码_hadoop源码解析之hdfs读取数据全流程分析
weixin_39716510的博客
11-30 425
这些内容都是自己在工作和学习中的一些学习总结,如果大家觉得有帮助,原创不易,希望帮忙点个赞,由于笔者水平有限,也难免有错误,也请大家不吝赐教,同时也欢迎关注我的微信公众号:[大数据技术与应用实战],一起成长。了解DataXceiverServer初始化工作工作原理Op类介绍处理逻辑BlockSender 读取数据传统方式实现数据传输零拷贝实现数据传输java api读取数据构造DFSInputSt...
安全】JAAS/GSS-API/SASL/Kerberos简介
九师兄
06-22 2478
# JAAS/GSS-API/SASL/Kerberos简介 如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。 JAAS JAAS是Java Aut...
JAAS/GSS-API/SASL/Kerberos简介
不见其长,日有所长
07-07 1514
1. 前言 如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。 2. JAAS JAAS是Java Authentication and Authorization Service的缩写,提供了认证与授权相关的服务框架与接口定义: 认证:认证主要是验证一个用户的身份。 授权
集成 OpenLDAP 与 Kerberos 实现统一认证 (3):基于 SASL/GSSAPI 深度集成
Laurence的技术博客
06-07 2670
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
Kerberos从入门到精通以及案例实操系列(二)
prefect_start的博客
06-05 1114
所以在安全Hadoop环境下,Kylin不需要做额外的配置,只需要具备一个Kerberos主体,进行常规的认证即可。若Presto对接的是Hive数据源,由于其需要访问Hive的元数据和HDFS上的数据文件,故也需要对Hive Connector进行Kerberos认证。启用Kerberos认证之后,关闭HBase时,需先进行Kerberos用户认证,认证的主体为hbase。但是Kylin所依赖的HBase需要进行额外的配置,才能在安全Hadoop环境下正常工作。以下说明均基于普通用户。
CentOS6.5中HadoopKerberos安全集成配置详解
"Hadoop安全验证涉及集成Kerberos的配置,包括Kerberos的安装、Hadoop的配置,以及在CentOS 6.5环境下进行的集群设置。" 在Hadoop环境中,安全验证是非常关键的一环,特别是对于大型分布式系统来说,确保数据的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值