Kerberos 认证 javax.security.auth.logon.LoginException:拒绝链接 (Connection refused)

已于 2024-03-30 20:58:19 修改
阅读量460 收藏 9
点赞数 5
文章标签: java 大数据 Kerberos
于 2024-03-28 08:59:04 首次发布
版权所有,非授权下,禁止任何形式转载。
本文链接:https://blog.csdn.net/keep_learn/article/details/137097307
版权

kerberos 服务重启之后异常

项目中用到了hive 和hdfs ,权限认证使用了Kerberos,因为机房异常,导致了Kerberos 服务重启,结果发现本来运行正常的应用服务hive 和hdfs 认证失败,报错信息是

请添加图片描述
典型的网络连接异常

排查思路

验证Kerberos 服务

首先想到Kerberos服务异常,防火墙拦截。通过hdfs 命令发现 Kerberos 服务正常。
后边自己写了一个hive 链接测试应用,发现同一台机器上可以正常验证通过访问hive。

排查为什么拒绝链接

应用本身上线有一段时间,期间未发生这种报错,所以思路集中在配置文件,服务器hosts配置方向,后边通过自己的测试服务 正常链接排除的环境因素那么就是程序本身问题,奇怪的点事本身服务运行正常,突然报异常了。

这个就有点奇怪,之后对比了代码发现

Kerberos 配置写法导致

正确的写法

   try {
            Class.forName(JDBC_DRIVER);
 

            //登录Kerberos账号
            String keytabPath = "/opt/data/kerberos/" + keytab;

            Configuration configuration = new Configuration();
            configuration.set("hadoop.security.authentication", "Kerberos");
            configuration.set("java.security.krb5.conf", "/opt/data/kerberos/krb5.conf");
            UserGroupInformation.setConfiguration(configuration);

            UserGroupInformation.loginUserFromKeytab(krbUser, keytabPath);
            System.out.println("Kerberos 验证通过");

            Connection connection = null;
            ResultSet rs = null;
            PreparedStatement ps = null;
            try {
                connection = DriverManager.getConnection(CONNECTION_URL);
                ps = connection.prepareStatement("select * from ods_inc.k02_city");
                rs = ps.executeQuery();
                while (rs.next()) {
                    System.out.println(rs.getString(1));
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        } catch (ClassNotFoundException | IOException e) {
            e.printStackTrace();
            return "exception";
        }
        return "finish";

    }

产生异常的写法

try {
            log.debug(keyTabPath);
            log.debug(confPath);
            //设置krb配置文件路径,注意一定要放在Configuration前面,不然不生效
            System.setProperty("java.security.krb5.conf", confPath);
            Configuration conf = new Configuration();
            //设置认证模式Kerberos
            conf.set("hadoop.security.authentication", "Kerberos");
            UserGroupInformation.setConfiguration(conf);
            //设置认证用户和krb认证文件路径
            UserGroupInformation.loginUserFromKeytab(krbUser, keyTabPath);
            log.info("Kerberos 验证成功");
        } catch (Exception e) {
            e.printStackTrace();
            log.error("Kerberos 验证失败", e);
            throw new PluginException("Kerberos 验证失败", e);
        }

关键点是
System.setProperty(“java.security.krb5.conf”, confPath);
这个配置文件在Kerberos 服务重启之后不生效了。

至于为什么不生效,欢迎高手一起研究交流。

总结

Kerberos 服务认证 内嵌在jdk中,某些jdk版本会导致Kerberos 认证异常,Kerberos 认证抛出的异常信息不足,很多时候排查问题比较耗费时间甄别,这种突然爆出的异常 应该和程序初始化有关系,或者Kerberos 服务重启之后的某些因素影响。

问题比较罕见,如果应用服务中环境可以通过防火墙策略配置,不建议使用Kerberos 认真大数据组件。

hamish-wu
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kerb_module_auth-5.4_samect5_somebodyoev_Kerberos_auth.4pyun.com
10-01
This is the kerberos module authentication implementation in C
Caused by: javax.security.auth.login.LoginException: Unable to obtain password from user
m0_37759590的博客
06-21 1155
Caused by: javax.security.auth.login.LoginException: Unable to obtain password from user
javax.security.auth.login
BLOG域名:programb.blog.csdn.net
05-12 1217
This package provides a pluggable authentication framework. Package Specification Java™ Cryptography Architecture Standard Algorithm Name Documentation Exceptions LoginException This is the basic login exception.
javax.security.auth.login.LoginException: Receive timed out
maple0102的专栏
02-23 332
项目中kafka用到了kerberose认证服务,在内部环境运行都没有问题,部署到客户方就报错,如下图,经过分析,发现应该是udp请求受限,经过查询资料,发现Kerberos 默认使用 UDP 端口88。1、禁止Kerberos使用udp服务。2、防火墙策略开放udp服务的端口范围。重新启动服务后,运行正常,问题解决。
Kerberos认证的kafka常见错误记录
Aspirin's Nest
10-14 1万+
前言 发现网上与kerberos有关报错信息少之又少,踩过的坑放在这里,希望可以帮到后来人。 报错信息总结 1. principal和keytab不匹配,这种问题,只需要在jaas文件中指定正确的账号密码即可 Caused by: javax.security.auth.login.LoginException: Could not login: the client is being ...
Kerberos hadoop常见问题汇总
热门推荐
周源的专栏
09-27 1万+
链接:https://github.com/steveloughran/kerberos_and_hadoop/blob/master/sections/errors.md 问题汇总: 1、GSS initiate failed —no further details provided 2、Server not found in Kerberos database (7) or se
dolphinschedule的报错:javax.security.auth.login.LoginException: Unable to obtain password from user
qq_43688472的博客
08-15 538
ERROR] 2023-08-15 18:16:57.793 +0800 org.apache.dolphinscheduler.api.exceptions.ApiExceptionHandler:[53] - 获取数据源表列表错误。
javax.security.auth.login.LoginException:没有为 XXX 配置LoginModules
David.turing's Security Blog
03-20 3470
sssneptune  提出了一个问题如下:*********************************************************************error信息为:javax.security.auth.login.LoginException:没有为 MyRealm  配置LoginModules 我明明已经配置了MyRealm在我的log...
Caused by: javax.security.auth.login.LoginException: unable to find LoginModule class: com.ibm.secur
星.云计算
05-27 2143
首先说下出现这个错误的环境配置吧:aix小型机安装tomcat,(配有ibm专有的jdk,1.6),hadoop(1.0.4)集群,linux:redhat,jdk是oracle的1.6。出现上面的错误信息;上网查了下,发现也有相同的错误出现:http://mail-archives.apache.org/mod_mbox/hadoop-user/201208.mbox/%3COF2E935E40...
javax.security.auth.login.LoginException: Error during resolve 异常
weixin_30572613的博客
08-07 2199
登陆TIM时本地抛此异常,测试环境正常 需要重启测试环境机器以后,本地才可以登陆成功 求大神帮忙解决: INFO: Client code attempting to load security configuration2015-10-30 17:12:46,082 INFO util.tim.TimConnector:177 -> com.ibm.itim.apps.Initi...
Kerberos认证过程.docx
09-25
非常容易理解的kerberos认证过程讲解,kerberos最精华的部分是,让最后的认证发生在client和server之间,没有通过认证机构,节省了时间和服务资源
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
JAAS 例子代码,包括如何实现Kerberos Login,执行Action,以及实现Kerberos Delegation.
论文研究-网格环境中身份认证的研究与应用.pdf
07-22
在分析网格环境中身份认证特殊需求的基础上,研究了适合不同网格应用场景的GSI方案和KX.509方案,提出并实现了一种针对整合分布Web资源以构建数据网格资源平台的身份认证方案。科学数据网格采用GSI方案来解决其安全...
auth-gss-kerberos5-1.3.jar
03-10
官方版本,亲测可用
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 485
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1561
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 731
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
kafka.kerberos.security.protocol=SASL_PLAINTEXT
07-13
"kafka.kerberos.security.protocol=SASL_PLAINTEXT"是Kafka中的一项安全配置属性,用于指定Kafka与Kerberos集成时使用的安全协议。 Kafka是一个分布式流处理平台,用于构建高可靠性的实时数据管道和流处理应用程序。而Kerberos是一个网络认证协议,用于提供强大的身份验证和安全授权机制。 在Kafka中启用Kerberos认证后,需要配置相关的安全属性,其中包括"kafka.kerberos.security.protocol"。这个属性设置为"SASL_PLAINTEXT",表示Kafka与Kerberos集成使用的是SASL(Simple Authentication and Security Layer)协议,并且在传输数据时使用明文文本格式。 SASL是一种通用的认证和安全层协议,可以与多种安全机制集成,包括Kerberos。在这种情况下,SASL_PLAINTEXT协议使用明文传输数据,在通信过程中进行身份验证和授权。 需要注意的是,明文传输数据可能存在安全风险,因此在生产环境中,建议使用更安全的协议,如SASL_SSL(基于SSL/TLS加密)或者其他适合的安全配置。 总结起来,"kafka.kerberos.security.protocol=SASL_PLAINTEXT"配置属性指定了Kafka与Kerberos集成时使用SASL协议进行身份验证,并使用明文传输数据。但在生产环境中,应该仔细评估安全需求,并选择更适合的安全配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值