kerberos下HBase访问Zookeeper的ACL问题

最新推荐文章于 2024-05-28 23:50:42 发布
最新推荐文章于 2024-05-28 23:50:42 发布
阅读量7.3k 收藏 2
点赞数
分类专栏: HBase 文章标签: hbase mapreduce zookeeper ACL kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzh1992n/article/details/48026921
版权

最近公司HBase(CDH-4.6.0)遇到了一个麻烦问题,觉得有必要记录下整个解决的过程。

问题起因

用户在跑mapreduce任务,从hdfs读取文件想写入到hbase table的时候失败了(这是hbase提供的一种mapred能力)。这个问题发现在A环境(一个测试环境),自从启用了kerberos之后。运行了用户给的程序和自己写的sample之后,发现程序最后挂在NullPointerException上。这个NPE指示的是服务端的一个叫currentKey的变量为null。

org.apache.hadoop.hbase.ipc.ExecRPCInvoker$1@58e395e8,java.io.IOException: java.io.IOException: java.lang.NullPointerException
at  org.apache.hadoop.hbase.security.token.AuthenticationTokenSecretManager.createPassword(AuthenticationTokenSecretManager.java:129) 
at org.apache.hadoop.hbase.security.token.AuthenticationTokenSecretManager.createPassword(AuthenticationTokenSecretManager.java:57)
at org.apache.hadoop.security.token.Token.<init>(Token.java:70)
at org.apache.hadoop.hbase.security.token.AuthenticationTokenSecretManager.generateToken(AuthenticationTokenSecretManager.java:162)
at org.apache.hadoop.hbase.security.token.TokenProvider.getAuthenticationToken(TokenProvider.java:91) 
at sun.reflect.GeneratedMethodAccessor56.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.hadoop.hbase.regionserver.HRegion.exec(HRegion.java:5610)
at org.apache.hadoop.hbase.regionserver.HRegionServer.execCoprocessor(HRegionServer.java:3918)
at sun.reflect.GeneratedMethodAccessor39.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.hadoop.hbase.ipc.SecureRpcEngine$Server.call(SecureRpcEngine.java:311)
at org.apache.hadoop.hbase.ipc.HBaseServer$Handler.run(HBaseServer.java:1428)
AuthenticationTokenSecretManager:
  @Override
  protected byte[] createPassword(AuthenticationTokenIdentifier identifier) {
    long now = EnvironmentEdgeManager.currentTimeMillis();
    AuthenticationKey secretKey = currentKey;  //currentKey赋给secretKey
    identifier.setKeyId(secretKey.getKeyId()); //NPE在这里抛出的,也就是currentKey为null
    identifier.setIssueDate(now);
    identifier.setExpirationDate(now + tokenMaxLifetime);
    identifier.setSequenceNumber(tokenSeq.getAndIncrement());
    return createPassword(WritableUtils.toByteArray(identifier),
        secretKey.getKey());
  }

问题定位

既然currentKey为null,那我们就去找它在哪里赋值的。阅读源码之后,了解到整个过程是这样的:

1.在开启kerberos之后,每个RegionServer都会有一个AuthenticationTokenSecretManager用来管理token。

2.这些manager中,只有一个leader,只有它能生产token,然后放到zookeeper里。其它manager通过感知zookeeper的变化来同步leader生产的token。leader通过竞争产生,谁先在ZK上创建 /hbase/tokenauth/keymaster 节点,谁就是leader。

AuthenticationTokenSecretManager$LeaderElector:
    public void run() {
      zkLeader.start();
      zkLeader.waitToBecomeLeader();  //没有成为leader的人会一直阻塞在这里,直到感知到当前leader挂掉才会开始新一轮竞争
      isMaster = true;
      while (!stopped) {
        long now = EnvironmentEdgeManager.currentTimeMillis();
        // clear any expired
        removeExpiredKeys(); //清除过期的token,同时也把它从ZK上移除
        if (lastKeyUpdate + keyUpdateInterval < now) {  //默认的周期是1天
          // roll a new master key
          rollCurrentKey();  //就是这个函数产生新的token,替换currenKey
        }
最低0.47元/天 解锁文章
ZephyrGuo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Kafka】Kafka SCRAM认证 ERROR [ZooKeeperClient] Auth failed
九师兄
08-07 4754
1.概述 PLAIN认证有个问题,就是不能动态新增用户,每次添加用户后,需要重启正在运行的Kafka集群才能生效。为此,在生产环境,这种认证方式不符合实际业务场景。而SCRAM不一样,使用SCRAM认证,可以动态新增用户,添加用户后,可以不用重启正在运行的Kafka集群即可进行鉴权。 新增kafka_server_scram_jaas.conf,配置内容如下: [lcc@lcc ~/soft/kafka/kafka_2.11-1.1.0_author_scram]$ cat config/kafka_se.
zookeeperzookeeperACL权限控制
九师兄
05-10 2444
1.概述 ACL:Access Control List 访问控制列表 关联文章:【zookeeperZooKeeper 权限管理与Curator增加权限验证 关联文章:【kafka】kerberos client is being asked for a password not available to garner authentication informa 1.1 简介 ACL 权限控制,使用:scheme:id:perm 来标识,主要涵盖 3 个方面:   权限模式(Scheme):授权的
Zookeeper ACL机制
TABE_的博客
10-18 317
目录ACL概述schemeIDpermissionACL特性ACL相关命令 ACL:Access Control List 访问控制列表 ACL概述 ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme: id :perm。 Scheme表示权限模式,ID表示授权对象,Permission表示授权的对象权限。 scheme scheme对应于采用哪种方案来进行权限管理,zookeeper-3.4.4缺省支持下面几种schem
org.apache.zookeeper.KeeperException.AuthFailedException报错的解决方案
最新发布
2301_79779756的博客
05-28 336
Apache ZooKeeper 是一个分布式协调服务,用于维护配置信息、命名、提供分布式同步和组服务等。为了确保数据的安全性和访问控制,ZooKeeper 引入了认证机制。客户端在连接到 ZooKeeper 服务器时,需要进行身份验证。
org.apache.zookeeper.KeeperException$AuthFailedException: KeeperErrorCode = AuthFailed
qq_27547495的博客
10-12 2877
org.apache.zookeeper.KeeperException$AuthFailedException: KeeperErrorCode = AuthFailed
java auth fail_java连接zookeeper报 KeeperErrorCode = AuthFailed
weixin_33631305的博客
03-04 1847
java连接zookeeper报 KeeperErrorCode = AuthFailed问题出现的环境背景及自己尝试过哪些方法zookeeper已经启动相关代码import java.util.HashMap;import java.util.List;import java.util.Map;import java.util.Properties;import kafka.consumer.C...
单机 kafka 配置 kerberos,设置 ACL 权限
10-10
kafka 配置 kerberos,设置 ACL权限, java 客户端连接。
大数据安全-kerberos技术-zookeeper安装包
06-06
大数据安全-kerberos技术-zookeeper安装包,zookeeper版本:apache-zookeeper-3.6.3-bin.tar.gz
hadoop快速集成kerberos认证
01-13
里面包含hadoop快速集成kerberos认证相关脚本与安装包。可以通过脚本直接修改hadoop,zookeeperhbase关于集成kerberos相关配置,一键修改,一键启动,方便快捷!!!
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
【标题】:“安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos” 【描述】:在本文中,我们将探讨如何在两台云主机(实际环境可能需要三台或更多)上安装Hadoop、HBase、Sqoop2、Phoenix以及Kerberos的详细过程,...
大数据安全-kerberos技术-hbase安装包,hbase版本:hbase-2.2.6-bin.tar.gz
06-07
大数据安全-kerberos技术-hbase安装包,hbase版本:hbase-2.2.6-bin.tar.gz
zookeeper sasl AuthFailed for 报错问题解决
德川家康
07-30 5372
问题描述关键字 o.a.z.client.ZooKeeperSaslClient : An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerbe
记一次docker安装kafka,zookeeper拒绝连接的问题
qq_39558519的博客
06-20 3548
kafka的启动参数KAFKA_ZOOKEEPER_CONNECT不能是localhost:2181,因为不是在一个容器中,localhost改为ip地址就可以了。确保 ZooKeeper 容器中的 /conf 目录中存在 log4j.properties 配置文件。nc 命令连接到 localhost:2181,确保ZooKeeper 服务器正在监听该地址,并且可以通过网络进行访问。如果 log4j.properties 文件不存在,可以在宿主机上创建一个,并将其复制到容器中。
安装zookeeper和kafka过程中遇到的问题
qq_42057890的博客
01-18 1714
安装zookeeper和kafka过程中遇到的问题 一、zookeeper中遇到的问题 1、版本问题 docker安装时不建议使用zookeeper:last 这版,建议使用wurstmeister/zookeeper:last 这版。 二、kafka中遇到的问题 1、版本问题 docker安装时不建议使用kafka:last 这版,建议使用wurstmeister/kafka:last 这版。 2、org.apache.kafka.co...
zookeeper问题解决 Authentication is not valid : /hbase/tokenauth
Mrerlou的博客
08-02 4154
最近在搭建Hbase服务时,服务无法启动,于是决定将hbase服务删除,在当删除zookeeper的/hbase节点时报错,报。看到网上大部分的文章都是使用跳过ACL或者开启super模式这两种方式,于是比较好奇有没有第三种解,这里整理并记录一下。SASL身份验证方案与某些其他方案的不同之处在于,如果方案是sasl,则命令无效。这是因为身份验证是在连接后立即使用启用SASL的令牌交换执行的,而不是像addauth那样在连接后的任何时间发生。相关链接httphttps。...
token系统讲解及过期处理
热门推荐
欧阳的技术博客
07-25 1万+
token详细讲解,是什么,用来做什么?如何解决token过期的问题?最好的方案分享
【大数据】HBase常见问题及解决方案总结(一)
zxln007的博客
01-24 3951
hbase常见问题及解决方案总结
zookeeper 密码_zookeeper:ACL权限控制如何避免未经授权的访问?
weixin_39875031的博客
12-01 537
ZookeeperACL机制来实现客户端对数据节点的访问控制一个ACL权限设置通常可以分为三部分:权限模式(Scheme)、授权对象(ID)、权限信息(Permission),最终组成一条例如“scheme:id:permission”格式的ACL请求信息1Schemezookeeper的权限验证方式大体分为两种类型,一种是范围验证,一种是口令验证范围验证这种方式是指设置单个ip或者i...
zookeeper错误码以及常见问题
MyObject-C的专栏
08-13 1万+
Zookeeper C API 错误码介绍 ZOO_ERRORS ZOK  正常返回 ZSYSTEMERROR  系统或服务器端错误(System and server-side errors),服务器不会抛出该错误,该错误也只是用来标识错误范围的,即大于该错误值,且小于 ZAPIERROR 都是系统错误。 ZRUNTIMEINCONSISTE...
zookeeperhbase目录无权限
06-08
如果您在ZooKeeper下的HBase目录中无法获得权限,则可以尝试以下步骤: 1. 检查您是否拥有足够的权限来访问该目录。您可以通过查看目录权限或尝试使用sudo命令获取权限来验证。 2. 确认您已经正确配置了HBase与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值