Java登录Kerberos认证过期问题

最新推荐文章于 2024-05-13 02:47:44 发布
最新推荐文章于 2024-05-13 02:47:44 发布
阅读量7k 收藏 42
点赞数 15
分类专栏: java 大数据 hbase 文章标签: 大数据 hbase kerberos keytab java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangyueranbbc/article/details/110390250
版权
大数据 同时被 3 个专栏收录
34 篇文章 1 订阅
订阅专栏
java
9 篇文章 0 订阅
订阅专栏
hbase
2 篇文章 0 订阅
订阅专栏

该问题属于hadoop低版本的bug,升级到hadoop3.0.0+版本后,自动解决。

问题:

最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期导致查询Hbase失败的问题。

Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。

spark2-submit \
 --master yarn \
 --deploy-mode cluster \
 --num-executors 3 \
 --driver-memory 4g \
 --executor-memory 4g \
 --executor-cores 2 \
 --conf spark.default.parallelism=10 \
 --conf spark.shuffle.file.buffe=1024k \
 --conf spark.executor.memoryOverhead=4096 \
 --class com.hypers.streaming.PanoramaMain \
 --conf "spark.executor.extraJavaOptions=-verbose:gc -XX:+PrintGCDetails" \
 --principal xxxx \
 --keytab xxxx.keytab \
  xxxx.jar

但我们自己开发的JavaWeb服务没有该机制,导致Ticket在程序运行时过期失效,最终查询Hbase时提示没有有效凭证,查询失败。

源码调试:

本地调试源码验证后,发现确实是因为Ticket的到期时间每次启动时候都会指定成一个固定的时间,后续也没有进行更新,最终过期导致应用查询Hbase失败。

重新编译了源码,增加了Ticket凭证相关的日志,最终确认了问题就是Ticket没有更新到期有效时间,导致认证过期。打印的日志如下:

checkTGTAndReloginFromKeytab! shouldRenewImmediatelyForTests:false, Time.now():1606492834061, getRefreshTime(tgt):1606526141000, tgt:Ticket (hex) = 
0000: 61 82 01 40 30 82 01 3C   A0 03 02 01 05 A1 0D 1B  a..@0..<........
0010: 0B 45 53 53 45 4E 43 45   2E 43 4F 4D A2 20 30 1E  .ESSENCE.COM. 0.
0020: A0 03 02 01 02 A1 17 30   15 1B 06 6B 72 62 74 67  .......0...krbtg
0030: 74 1B 0B 45 53 53 45 4E   43 45 2E 43 4F 4D A3 82  t..ESSENCE.COM..
0040: 01 02 30 81 FF A0 03 02   01 12 A1 03 02 01 01 A2  ..0.............
0050: 81 F2 04 81 EF B4 0C DB   10 F7 5F 24 41 A8 91 70  .........._$A..p
0060: A0 76 13 DE 32 C2 29 82   D3 2D D0 50 34 E3 A9 B1  .v..2.)..-.P4...
0070: 4B B0 CF 55 CF 2E 83 8C   CB AE 05 2E 77 C5 14 6B  K..U........w..k
0080: 56 B0 63 DD 32 A7 C9 BA   DE 51 9B FF 06 C5 01 6F  V.c.2....Q.....o
0090: 16 01 AD E2 BB C4 6E C5   B3 BC 35 FE 0D AF 20 49  ......n...5... I
00A0: CF F7 4C 90 C7 7F A0 F5   A1 19 A2 FF 3D FF AB 67  ..L.........=..g
00B0: EF 91 FA C4 ED 59 C1 53   38 7A BD B2 FF FD FC 84  .....Y.S8z......
00C0: E5 16 DE 9F 08 62 49 65   57 86 57 6D 03 A2 96 83  .....bIeW.Wm....
00D0: F9 80 1E E6 F7 E4 4B 4F   9C 00 55 B9 4A A2 DA E2  ......KO..U.J...
00E0: F2 01 86 11 1C B5 B1 01   9A F6 29 75 C2 D1 80 8A  ..........)u....
00F0: 90 7F 35 C2 D0 A2 65 C3   9A 8B 9C 00 5E 20 EB 6C  ..5...e.....^ .l
0100: CF 1A 04 FC 20 8C 7B 4B   98 0A 0F 08 36 EC 94 7E  .... ..K....6...
0110: AF 71 4D A1 E1 DA 95 4A   50 5A A8 1B 39 4A F0 B6  .qM....JPZ..9J..
0120: 99 60 71 C7 E4 05 1A 54   0C 05 50 C5 42 B0 97 08  .`q....T..P.B...
0130: 29 5A 48 7E 8F A7 C9 BD   A6 9B 19 E4 A7 2A ED 48  )ZH..........*.H
0140: 8F 5F 1A D2                                        ._..

Client Principal = @xx.COM
Server Principal = xxxx/xx.COM@xx.COM
Session Key = EncryptionKey: keyType=18 keyBytes (hex dump)=
0000: A2 ED 15 B4 25 87 D1 B8   70 23 96 41 48 4B B6 79  ....%...p#.AHK.y
0010: 96 60 1A 1D EF D7 50 C0   31 C6 F5 63 8A 65 56 9E  .`....P.1..c.eV.


Forwardable Ticket true
Forwarded Ticket false
Proxiable Ticket false
Proxy Ticket false
Postdated Ticket false
Renewable Ticket false
Initial Ticket false
Auth Time = Fri Nov 27 14:03:41 CST 2020
Start Time = Fri Nov 27 14:03:41 CST 2020
End Time = Sat Nov 28 14:03:41 CST 2020
Renew Till = null
Client Addresses  Null 
主要是End Time、Renew Till字段,源码里的解释:

/**
 * Returns the start time for this ticket's validity period.
 *
 * @return the start time for this ticket's validity period
 *         or null if not set.
 */
public final java.util.Date getStartTime() {
    return (startTime == null) ? null : (Date)startTime.clone();
}

/**
 * Returns the expiration time for this ticket's validity period.
 *
 * @return the expiration time for this ticket's validity period.
 */
public final java.util.Date getEndTime() {
    return (endTime == null) ? null : (Date) endTime.clone();
}

/**
 * Returns the latest expiration time for this ticket, including all
 * renewals. This will return a null value for non-renewable tickets.
 *
 * @return the latest expiration time for this ticket.
 */
public final java.util.Date getRenewTill() {
    return (renewTill == null) ? null: (Date)renewTill.clone();
}

解决思路:

最后找到的解决方案是需要我们自己去定期刷新(重新登录)凭证来使凭证永久生效,或者指定一个较长的 ticket_lifetime 凭证有效期,来让应用尽可能推迟到期时间。

参考:HBase Kerberos connection renewal strategy - Stack Overflow

最终解决方案:

在连接Hbase,触发了首次登录Kerberos的时候,启动一个定时任务,每次定时调用checkTGTAndReloginFromKeytab()方法来更新凭证,来达到定时更新的效果。

  conf.addResource("hbase-site-test.xml");
                            conf.addResource("core-site-test.xml");
                            conf.addResource("hdfs-site-test.xml");
                            try {
                                System.setProperty("java.security.krb5.conf", Constants.KRB5_CONF_PATH);
                                UserGroupInformation.setConfiguration(conf);
                                UserGroupInformation.loginUserFromKeytab(Constants.KEYTAB_USER, Constants.KEYTAB_PATH);
                                startCheckKeytabTgtAndReloginJob(); // 定时更新凭证任务
                            } catch (IOException e) {
                                logger.error("Login failure", e);
                            }
 /**
     * * 定时更新凭证
     */
    private static void startCheckKeytabTgtAndReloginJob() {
        //10分钟循环 达到距离到期时间一定范围就会更新凭证
        ThreadPool.updateConfigThread.scheduleWithFixedDelay(() -> {
            try {
                UserGroupInformation.getLoginUser().checkTGTAndReloginFromKeytab();
                logger.warn("get tgt:{}", UserGroupInformation.getLoginUser().getTGT());
                logger.warn("Check Kerberos Tgt And Relogin From Keytab Finish.");
            } catch (IOException e) {
                logger.error("Check Kerberos Tgt And Relogin From Keytab Error", e);
            }
        }, 0, 10, TimeUnit.MINUTES);
        logger.warn("Start Check Keytab TGT And Relogin Job Success.");
    }

注:也可通过reloginFromTicketCache()方法进行更新,但依赖于服务器上的认证缓存。或者直接调用kinit -R来更新(参考Hadoop源码中的续期方式)。

            // 参考Hadoop源码中的续期方式
            try {
                String cmd = "kinit";
                Shell.execCommand(cmd, "-R");
                log.warn("exec kinit -R!");
            } catch (IOException e) {
               log.warn("relogin error.",e);
            }
            try {
                UserGroupInformation.getLoginUser().reloginFromTicketCache();
            } catch (IOException e) {
                log.warn("relogin error.",e);
            }

观察结论:

Ticket的有效期已经更新,目前运行了几天,一起正常。后续继续观察。

huangyueranbbc
关注
  • 15
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
【hadoop】java连接hadoop Kerberos 24小时过期问题
九师兄
02-07 876
文件,如果配置了高可用,会直接加载高可用的ResourceManager,但是现在情况看起来是,虽然客户端配置了,但是实际运行起来发现,客户端不会自动切换。然后就怀疑是第二个问题,然后我就问对方,kerberos是不是有24小时过期问题,他们回复是的,于是我就想起来上个公司,我们的程序一般都是带刷新的功能。最近在做hadoop认证,然后认证成功后,一段时间就会报错,排查了一番,发现可能是如下原因。后来验证了一下,发现我们加载了。然后现在好像一直没遇到问题了。
kerberos认证hive连接代码
12-05
kerberos认证hive连接代码,springmvc配置加上java触发认证kerberos认证
Kafka-Kerberos票据刷新问题
孟孟的博客
10-01 867
至此找到了问题出现的原因,由于线上项目 useTicketCache 设置成了 true, 导致每次票据刷新的定时任务都会经过上述逻辑,调用 Kerberos kinit 命令,但是项目运行的服务器并没有 kinit,所以出现异常,票据刷新失败。从报错信息看,相关业务逻辑是在 KerberosLogin 类中。tips: 如果大家查看源码的话,可以关注一下 KerberosLogin 的 login 方法,此方法创建了一个 定时任务的线程,用来解决票据刷新问题的,具体代码我就不贴图啦。
Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证(2)
最新发布
2401_84545128的博客
05-13 1000
①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等①Windows系统常见功能和命令。
java ugi确认框_在对hadoop进行任何操作之前,我应该调用ugi.checkTGTAndReloginFrom
weixin_42571280的博客
02-25 483
Hadoop提交者在这里!这是一个很好的问题。不幸的是,如果不深入研究应用程序的特定使用模式,很难给出明确的答案。相反,我可以提供一般准则,并描述Hadoop何时为您自动处理票证更新或从keytab重新登录,以及何时不这样做。Hadoop生态系统中Kerberos身份验证的主要用例是Hadoop的RPC框架,该框架使用SASL进行身份验证。Hadoop生态系统中的大多数守护进程都通过UserGro...
java连接hbase Kerberos 24小时过期问题
alfred889988的博客
11-09 2301
web项目访问hbase,新客户要求添加kerberos。刚开始是这样写的: try{ UserGroupInformation.setConfiguration(hbConf); UserGroupInformation.loginUserFromKeytab(userName,keyTabFile); }catch (IOException e){ logger.error("kerbose登录报错" + e); } 项目部署到服务器上连接正常,但是到了24h后就过期了,
Spark 框架安全认证实现
hellozhxy的博客
11-28 2861
导言 随着大数据集群的使用大数据的安全受到越来越多的关注一个安全的大数据集群的使用,运维必普通的集群更为复杂。 集群的安全通常基于kerberos集群完成安全认证kerberos基本原理可参考:一张图了解Kerberos访问流程 Spark应用(On Yarn模式下)在安全的hadoop集群下的访问,需要访问各种各样的组件/进程,如ResourceManager,NodeManager,N...
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
m0_37759590的博客
07-04 914
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
Java中实现Flink订阅Kerberos认证的Kafka消息是一项关键任务,特别是在处理安全敏感的数据流时。本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka的集成,以及如何通过Kerberos进行身份验证。 首先,...
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
kerberosjava实现
06-07
这个模块是Java登录框架(JAAS,Java Authentication and Authorization Service)的一部分,允许用户根据策略文件配置认证流程。 - **配置JAAS策略文件** 配置文件中指定Kerberos登录模块,并提供必要的...
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过...
0579-5.15.1-Java 应用程序中修改Kerberos ticket_lifetime参数无效异常分析
Hadoop_SC的博客
11-10 637
1 文档编写目的 在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序中读取krb5.conf 中配置ticket_lifetime 参数不生效的异常分析。 测试环境 1.CM和CDH版本为5.15.1 2.操作系统版本为RedHat7.2 3.集群已启用Kerberos 4.JDK 1....
关于kerberos认证24小时过期的web项目
张不帅
05-31 1750
文章目录 对于kerberos认证大数据集群,由于kerberos认证设置了缓存票据时间为24小时, 设置了定时任务,每次在24小时的时候重新认证并获取hbase连接 在重新获取连接的时候断开连接,此时线上的其他查询服务会在这一瞬间统一宕机 具体解决方案, try { UserGroupInformation.loginUserFromKeytab(userName,keyTabFile); long time = 24 * 60 * 60 * 1000;//24
Java通过kerberos权限认证集成hive
qq_37928228的博客
04-26 1349
java通过kerberos权限认证集成hive,并操作hive实现hive库和表、分区表的增删查等功能
解决DolphinScheduler配置Kerberos过期问题(无效,请看完结版)
qq_18453581的博客
05-26 1390
DolphinScheduler除了kerberos.expire.time注释掉,其他正常配置,定时更新ticket在20点,几乎没有任务运行,klist中renew until 2023-06-01T20:00:01,之前失效的都是整点无法自动续期时renew until时间固定不变,自动续期时renew until每天更新。
java kerberos认证 过期_定位Kerberos 配置常见问题
weixin_34788662的博客
12-25 1607
定位Kerberos配置过程中的问题,可尝试如下步骤,也可学习逗点云的《Kerberos调试系列》课程:1.使用Kerberos Tray或Kerberos List确认有尝试连接的服务的TGS票证。如果有访问的服务的TGS票证并且仍然收到错误消息,考虑以下两种可能性:•可能遇到SPN问题。有关SPN问题的详细信息,可查阅错误: KDC_ERR_PRINCIPAL_NOT_UNIQUE。•可能遇到...
java kerberos认证 过期_Kerberos安装使用
weixin_39531635的博客
12-25 506
1、安装方式一:【手动编译安装】# 1. 下载界面https://web.mit.edu/kerberos/dist/index.html# 2. 选择下载版本,如:1.17https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz# 3. 解压tar zxvf krb5-1.17.tar.gz# 3. 编译cd krb5-1.17/s...
java api连接kerberos认证的es
05-30
使用Java API连接使用Kerberos认证的Elasticsearch集群,你需要遵循以下步骤: 1. 首先,你需要为你的Java应用程序配置Kerberos认证。这可以通过在你的应用程序中使用JAAS(Java Authentication and Authorization Service)框架来完成。 2. 然后,你需要在Elasticsearch集群中启用Kerberos认证。这可以通过在elasticsearch.yml配置文件中设置以下属性来完成: ``` xpack.security.authc.realms: kerberos.kerb1: type: kerberos order: 0 krb5_file_path: /path/to/krb5.conf keytab_path: /path/to/elasticsearch.keytab ``` 其中,`krb5_file_path`是指向Kerberos配置文件的路径,`keytab_path`是指向Elasticsearch服务的keytab文件路径。 3. 接下来,你需要使用Java API创建一个Elasticsearch客户端,并使用Kerberos认证进行身份验证。以下是一个示例代码: ``` public class KerberosESClient { public static void main(String[] args) throws Exception { Configuration conf = new Configuration(); conf.setBoolean("hadoop.security.authentication", true); UserGroupInformation.setConfiguration(conf); UserGroupInformation.loginUserFromKeytab("your_principal", "/path/to/your/keytab"); Settings settings = Settings.builder() .put("cluster.name", "your_cluster_name") .put("xpack.security.user", "your_username:your_password") .put("client.transport.sniff", true) .build(); TransportClient client = new PreBuiltXPackTransportClient(settings) .addTransportAddress(new InetSocketTransportAddress(InetAddress.getByName("your_es_host"), 9300)); SearchResponse response = client.prepareSearch().execute().actionGet(); client.close(); } } ``` 在上面的代码中,`UserGroupInformation`类用于从指定的keytab文件中获取Kerberos凭证,然后使用这些凭证创建一个Elasticsearch客户端。`Settings`类用于配置一些连接参数,例如集群名称、节点授权信息等。`TransportClient`类用于实现与Elasticsearch节点的通信,可以使用`prepareSearch`方法发送一个查询请求并获取结果。 希望这个回答能够帮助到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值