impala加kerberos后权限问题

已于 2022-09-29 17:57:12 修改
阅读量1k 收藏
点赞数
文章标签: hadoop 大数据 java
于 2022-09-29 12:20:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jzy3711/article/details/127104490
版权

impala加kerberos后权限问题

impala加kerberos后权限问题

背景

公司测试集群需要配置impala+kerberos,但是测试集群很乱,很多人用,用户还有权限比较混乱,而且是ambari HDP的集群。加了kerberos后查询没有问题,建表的时候不行。impala在124也就是master上,程序在126机slave2上,hive在125上。

问题

Unable to obtain password from user

2022-09-27 11:38:40.225 [main] WARN  org.apache.hadoop.util.NativeCodeLoader.<clinit>:62 - Unable to load native-hadoop library for your platform... using builtin-java classes where applicable
2022-09-27 11:38:40.313 [main] ERROR com.asiainfo.dacp.kpi.process.kpiscope.impl.KpiScopeCal4Db.createTempWideTable:398 - 创建临时宽表失败:Login failure for impala/slave2.am.com@AM.COM from keytab /root/impala-http.keytab: javax.security.auth.login.LoginException: Unable to obtain password from user

java.io.IOException: Login failure for impala/slave2.am.com@AM.COM from keytab /root/impala-http.keytab: javax.security.auth.login.LoginException: Unable to obtain password from user

解决

1.修改/root/impala-http.keytab的权限

chown impala:impala /root/impala-http.keytab

2.检查/etc/default/impala配置
具体配置如下:

IMPALA_CATALOG_SERVICE_HOST=10.1.x.x
IMPALA_STATE_STORE_HOST=10.1.x.x
IMPALA_STATE_STORE_PORT=24000
IMPALA_BACKEND_PORT=22000
IMPALA_LOG_DIR=/var/log/impala

IMPALA_CATALOG_ARGS=" -log_dir=${IMPALA_LOG_DIR}  -state_store_host=${IMPALA_STATE_STORE_HOST}  -kerberos_reinit_interval=60 -principal=impala/_HOST@AM.COM -keytab_file=/etc/impala/conf/impala-http.keytab"
IMPALA_STATE_STORE_ARGS=" -log_dir=${IMPALA_LOG_DIR} -state_store_port=${IMPALA_STATE_STORE_PORT} -kerberos_reinit_interval=60 -principal=impala/_HOST@AM.COM -keytab_file=/etc/impala/conf/impala-http.keytab"
IMPALA_SERVER_ARGS=" \
    -log_dir=${IMPALA_LOG_DIR} \
    -catalog_service_host=${IMPALA_CATALOG_SERVICE_HOST} \
    -state_store_port=${IMPALA_STATE_STORE_PORT} \
    -use_statestore=true \
    -state_store_host=${IMPALA_STATE_STORE_HOST} \
    -be_port=${IMPALA_BACKEND_PORT} \
    -kudu_master_hosts=10.1.251.124:7051 \
    -kerberos_reinit_interval=60 \
    -principal=impala/_HOST@AM.COM \
    -keytab_file=/etc/impala/conf/impala-http.keytab"

ENABLE_CORE_DUMPS=false

# LIBHDFS_OPTS=-Djava.library.path=/usr/lib/impala/lib
# MYSQL_CONNECTOR_JAR=/usr/share/java/mysql-connector-java.jar
# IMPALA_BIN=/usr/lib/impala/sbin
# IMPALA_HOME=/usr/lib/impala
# HIVE_HOME=/usr/lib/hive
# HBASE_HOME=/usr/lib/hbase
# IMPALA_CONF_DIR=/etc/impala/conf
# HADOOP_CONF_DIR=/etc/impala/conf

重启程序报以下错误:

Error Code: 0, SQL state: TStatus(statusCode:ERROR_STATUS, sqlState:HY000, errorMessage:

2022-09-27 11:42:49.364 [main] ERROR com.asiainfo.dacp.kpi.process.kpiscope.impl.KpiScopeCal4Db.createTempWideTable:398 - 创建临时宽表失败:[Cloudera][ImpalaJDBCDriver](500051) ERROR processing query/statement. Error Code: 0, SQL state: TStatus(statusCode:ERROR_STATUS, sqlState:HY000, errorMessage:
ImpalaRuntimeException: Error making 'createTable' RPC to Hive Metastore: 
CAUSED BY: MetaException: Got exception: org.apache.hadoop.ipc.RemoteException Unauthorized connection for super-user: hive/master.am.com@AM.COM from IP 10.1.251.124
), Query: create  table testkpi.mj_test0826_zb_20220101_bfXx as select 20220101 as op_time,area_code_lv3,channel,sum(kpi_val) as DCD012L00021 from ( select AREA_ID_LV3 as area_code_lv3,CHANNEL_CLASS_CODE as CHANNEL,kpi_val from KPI_TEST where DATE_CD = '20211001' ) scope_sql group by area_code_lv3,channel.
java.sql.SQLException: [Cloudera][ImpalaJDBCDriver](500051) ERROR processing query/statement. Error Code: 0, SQL state: TStatus(statusCode:ERROR_STATUS, sqlState:HY000, errorMessage:
ImpalaRuntimeException: Error making 'createTable' RPC to Hive Metastore: 
CAUSED BY: MetaException: Got exception: org.apache.hadoop.ipc.RemoteException Unauthorized connection for super-user: hive/master.am.com@AM.COM from IP 10.1.251.124

解决

原因:hadoop配置文件 core-site.xml错误, 用于连接的IP地址或主机名没有增加到代理配置中
修改hdfs配置
hadoop.proxyuser.hive.hosts 原来是slave1为了方便我直接用*了。
在这里插入图片描述
重启服务,重新执行程序任务正常

执行impala-shell -k

创建测试表没有问题

impala-shell -k
Starting Impala Shell using Kerberos authentication
Using service name 'impala'
Connected to master.am.com:21000
Server version: impalad version 2.7.0-IMPALA_KUDU-cdh5 RELEASE (build 10d4ebec3c23961218e972e74e9d342ffc417af1)
***********************************************************************************
Welcome to the Impala shell. Copyright (c) 2015 Cloudera, Inc. All rights reserved.
(Impala Shell v2.6.0-cdh5.8.0 (8d8652f) built on Tue Jul 12 15:43:17 PDT 2016)

To see a summary of a query's progress that updates in real-time, run 'set
LIVE_PROGRESS=1;'.
***********************************************************************************
[master.am.com:21000] > create table jzy(id int);
Query: create table jzy(id int)

Fetched 0 row(s) in 0.07s

在这里插入图片描述

jzy3711
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jdbc 连接impala或者jdbc连接hive
05-24
- **错误处理**:在实际应用中,应妥善处理可能出现的异常,例如网络问题权限错误或SQL语法错误。 - **版本兼容性**:确保JDBC驱动与你的Hive或Impala版本兼容,否则可能会出现连接问题。 总的来说,通过JDBC...
Unable to obtain password from user的一种可能
我的博客
03-24 2万+
文章目录异常异常前的操作原因及解决办法 异常 2020-03-24T11:20:32,863 ERROR [main]: metastore.HiveMetaStore (HiveMetaStore.java:main(9316)) - Metastore Thrift Server threw an exception... org.apache.hadoop.security.Kerberos...
Kerberos : Unable to obtain password from user
HFUT_SIAS的博客
04-27 7686
如果报这个错,能确定是keytab的问题,根据网上查找的资料我总结如下,方便大家定位问题权限问题(相应的用户没有读权限) #可以临时把读权限都放开,再重试一下,验证是否权限问题 chmod a+r /xxx/yyy/zzz.keytab ## 如果是这个问题,用chown和chmod命令,将文件权限设置好就行了 keytab自身有问题,也即可能是keytab里的信息失效了 #可以通过kinit验证是否该问题 kinit -kt /xxx/yyy/zzz.keytab aa/bb@cc ## 如
javax.security.auth.login.LoginException: Unable to obtain password from user
最新发布
刘大猫
06-20 694
假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。我之所以选这么旧的版本,是因为我最后要在自己项目集成,我们项目就是上面版本附近的,所以不能选太高版本,这点请注意各版本之间的兼容性问题。:如果里面的某些配置不知道在哪或者不知道干啥的,可以看我的前面的博客,详细介绍了安装配置等,可以大致了解参数。
kerberos 认证 Unable to obtain password from user 异常排查
keep_learn的专栏
01-10 1453
生产环境突然遇到kerberos 认证异常,java应用连接hive之前的认证异常报Unable to obtain password from user很常见的报错异常。
Kerberos异常之unnable to obtain password from user
u012667450的博客
11-18 9237
unnable obtain password from user 问题描述 在大数据集群开启kerberos认证后,使用kerberos票据进行kinit认证通过。但是集群运行yarn任务时报错: javax.security.auth.login.LoginException: Unable to obtain password from user 产生原因 在kerberos认证的集群下,该问题会经常遇到。其实很简单,是因为使用生成kerberos票据时的linux用户与集群组件匹配不当造成的。比
KerberosAuthException:Unable to obtain password from user
software_kid的专栏
12-28 1138
【Exceptions】KerberosAuthException:Unable to obtain password from user
sentry 权限简介
05-18
例如,在Hive和Impala中,Sentry可以控制服务器、数据库、表和视图层面的访问权限,包括查找、插入等操作。 - **基于角色的管理**:Sentry通过基于角色的授权简化了管理过程,可以轻松地向不同的组授予不同级别的...
CDH5.15启用kerberos+Sentry手册_v1.0.docx
04-10
完成配置后,通过测试不同用户的访问权限来验证Sentry是否正常工作。同时,定期检查Sentry的日志和审计记录,以确保安全策略得到执行。 特别提醒,对于Kafka-manager这样的组件,也需要进行Kerberos连接的配置,...
安全管理sentry+kerberos
12-15
Sentry目前与Apache Hive、Hive Metastore/HCatalog、Apache Solr、Impala以及HDFS(针对Hive表数据)等组件集成,提供精确级别的权限控制。 **Sentry概述** 1. **Sentry的定义**:Sentry是一个Hadoop组件,它允许...
Apache Hadoop---Sentry.docx
06-12
8. **统一平台**:Sentry利用HadoopKerberos认证实现安全,提供了一个统一的平台来管理所有组件的权限,并且未来的扩展性较强。 Sentry的架构包含三个核心组件: 1. **Binding**:Binding是Sentry与各种查询引擎...
Unauthorized connection for super-user: hive from IP
a123147abc的博客
11-30 4141
报错信息:java.util.concurrent.ThreadPoolExecutor$Worker:run:ThreadPoolExecutor.java:624, java.lang.Thread:run:Thread.java:748, *java.lang.RuntimeException:java.lang.RuntimeException: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.authorize.Au
java hbase连接kerberos的几个常见错误
xyhshen的博客
07-12 2957
1.No valid credentials provided (Mechanism level: Attempt to obtain new INITIATE credentials failed! (null)) javax.security.auth.login.LoginException: Clock skew too great 很常见,时间同步问题,让调用方和hbase、kerberos服务器的时间一致就行,一般误差在1~2分钟还是能接受 2.Unable to obtainpassw..
Kerberos常见问题
wank1259162的博客
01-11 1万+
Error Messages to Fear 参考地址:Introduction · Hadoop and Kerberos: The Madness Beyond the Gate Security error messages appear to take pride in providing limited information. In particular, they are usually some generic IOException wrapping a generic securit
大数据安全-KerberosKerberos常见问题及解决方案
weixin_53543905的博客
04-04 9137
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
解决集群报failure to login: for principal 。。。。Unable to obtain password from user错误
xgysimida的博客
05-11 7592
一、问题复现 在做集群项目运行时,报了如下错误: org.apache.hadoop.security.KerberosAuthException: failure to login: for principal: dal_pro/nm-bigdata.local from keytab /etc/security/keytabs/dal_pro.keytab javax.security.auth.login.LoginException: Unable to obtain password fro
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
热门推荐
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
一次使用kerberos密连接hbase错误记录
没有简介
07-03 500
项目中要使用公司hbase,但是公司hbase时通过kerberos密的,在通过运维同学给的密文件连接hbase时,一直报Unable to obtain password from user\u00A\u00A\u009, 看错误是用户名或密文件不对,经过多次核对配置文件里的用户名没有问题,keytab文件也是直接放到配置目录没有改过。于是我在启动入代码打开了kerberos debug开关。 System.setProperty("sun.security.krb5.debug", "
TStatus(statusCode:ERROR_STATUS, sqlState:HY000, errorMessage:IllegalStateException: null
qq_30908729的博客
09-10 1941
SQL 错误 [500051] [HY000]: [Cloudera][ImpalaJDBCDriver](500051) ERROR processing query/statement. Error Code: 0, SQL state: TStatus(statusCode:ERROR_STATUS, sqlState:HY000, errorMessage:IllegalStateException: null。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值