kafka开启kerberos,报错server not found in kerberos database

最新推荐文章于 2025-03-13 15:41:46 发布
最新推荐文章于 2025-03-13 15:41:46 发布
阅读量2w 收藏 11
点赞数 1
分类专栏: 大数据问题处理 # kafka 大数据运维 文章标签: kafka sasl kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangkiller/article/details/107707159
版权
本文详细介绍了Kafka使用SASL(Kerberos)进行安全认证的配置过程,包括server.properties和jaas.conf文件的设置,以及解决客户端连接错误的方法,如principal名称不匹配和Kerberos数据库未找到服务等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kafka开启了SASL(kerberos), server.properties配置为

sasl.enabled.mechanisms: GSSAPI
security.inter.broker.protocol: SASL_PLAINTEXT
ssl.mode.enable: false
allow.everyone.if.no.acl.found: true
sasl.port: 19092

服务端的jaas.conf内容为

KafkaServer {
com.sun.security.auth.module.Krb5LoginModule required
debug=false
keyTab="/opt/kafka/keytabs/kafka.keytab"
useTicketCache=false
storeKey=true
principal="kafka/hadoop.test.com@TEST.COM"
useKeyTab=true;
};

KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="/opt/kafka/keytabs/kafka.keytab"
principal="kafka/hadoop.test.com@TEST.COM"
storeKey=true
debug=false
useTicketCache=false;
};

Client {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
principal="kafka/hadoop.test.com@TEST.COM"
useTicketCache=false
keyTab="/opt/kafka/keytabs/kafka.keytab"
debug=false
useKeyTab=true;
};

在客户端查询kafka集群中所有节点的API版本信息

kafka-broker-api-versions.sh --bootstrap-server  192.168.1.140:19092

报错

Request METADATA failed on brokers List

这是因为客户端没有开启SASL
编辑client.properties

sasl.mechanism=GSSAPI
security.protocol=SASL_PLAINTEXT 
sasl.kerberos.service.name=kafka
sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required \
    useKeyTab=true \
    storeKey=true \
    keyTab="/opt/kafkaclient/keytabs/kafka.keytab" \
    principal="kafka/hadoop.test.com@TEST.COM" \
    renewTGT=true \
    useTicketCache=true;

运行命令

kafka-broker-api-versions.sh --bootstrap-server  192.168.1.140:19092 --command-config client.properties

报错

no vailid crdentials provided
server not found in kerberos database
identifier doesn't match expected value

查看kerberos的日志krb5kdc.log

LOOKING_UP_SERVER: kafka@TEST.COM for kafka/test.com@TEST.COM,Server not found in Kerberos database

发现是服务名不对,正确的服务名是: kafka/hadoop.test.com@TEST.COM

修改client.properties

sasl.mechanism=GSSAPI
security.protocol=SASL_PLAINTEXT 
sasl.kerberos.service.name=kafka
kerberos.domain.name=hadoop.test.com
sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required \
    useKeyTab=true \
    storeKey=true \
    keyTab="/opt/kafkaclient/keytabs/kafka.keytab" \
    principal="kafka/hadoop.test.com@TEST.COM" \
    renewTGT=true \
    useTicketCache=true;

再次运行

kafka-broker-api-versions.sh --bootstrap-server 192.168.1.140:19092 --command-config client.properties

可获得正确的结果

principal的主机名

查看kerberos的日志krb5kdc.log,如果报错

LOOKING_UP_SERVER: kafka/hadoop.test.com@TEST.COM for kafka/w120pc05@TEST.COM

可知是反解析hosts里的ip得到hostname,从而构建service principal;
principal的格式为primary/hostname@REALM

因此,另一种解决方法是,修改/etc/hosts

192.168.1.140 hadoop.test.com
Kafka】华为kafka认证报错 Server not found in Kerberos database (7) - LOOKING_UP_SERVER
九师兄
09-27 2137
最近要进行华为的环境认证,然后我他们说要他们的包,我是有2个服务,一个是web服务,一个是FLink任务,因为web的好替换我,直接替换成他们的包。我把他们的包放到maven中如下 然后我在flink中引入了相关的包如下,但是我们的flink版本比较高是,flink 1.11 他们提供的包是1.7.2 flink版本我们没有替换,然后取运行,运行报错 详细错误信息如下 根据文档:华为kafka认证报错 Server not found in Kerberos database (7) - LOOKING_
kafkakerberos Server not found in Kerberos database LOOKING_UP_SERVER Identifier doesn‘t match
九师兄
01-09 3737
kafkakerberos认证下 kafka 报错Bootstrap broker host:ip (id: -1 rack: null) disconnected,然后我想在本地消费试试。
java代码消费华为kafka认证报错 Server not found in Kerberos database (7)-LOOKING_UP_SERVER
qq_42023509的博客
06-19 1489
如果读取的是华为集群,则需要用华为自己的kafka-client包。华为的包是兼容开源的kafka包的,所以开源放心使用。确认有没有添加put(“kerberos.domain.name”, “hadoop.hadoop.com”)2.查看是否配置了hosts。需要将线上服务器的域名映射放入Client中的hosts。1.检查配置是否正确的同时,看看有没有少配置。我当时就因为少这个配置,卡了我两天。1.首先确认用户是否有权限。
kafka启动命令
最新发布
Oo_Amy_oO的博客
03-13 597
首先要确保已经安装好了 Java 环境,因为 Kafka 是基于 Java 开发的,需要 Java 运行时的支持。配置文件来启动 Kafka 服务器实例,之后 Kafka 就处于运行状态,可以开始使用它进行消息的生产和消费等操作了。按照默认配置启动 Kafka 服务器,使其可以对外提供服务,接收和处理消息的生产与消费请求等。等)进行修改,例如修改监听地址、端口等相关参数,以更好地适配实际的网络环境和业务场景。另外,在实际使用中,可能还需要根据具体需求对 Kafka 的配置文件(如。
华为kafka认证报错 Server not found in Kerberos database (7) - LOOKING_UP_SERVER
温柔已看透的博客
08-25 1万+
报错原文 principal is kafka_test@HADOOP.COM Will use keytab Commit Succeeded 21/08/23 10:20:14 INFO NewConsumer: subscribe:bc_test Exception in thread "main" java.lang.reflect.InvocationTargetException at sun.reflect.NativeMethodAccessorImpl.invoke0(Native
华为认证-- sun.security.krb5.KrbException: Server not found in Kerberos database (7)
我是传奇
09-26 2万+
一、问题描述 在用华为安全模式接入kafka时,一直提示错误: javax.security.sasl.SaslException: An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: N...
解决对接华为kafka 进行Kerberos认证时的sun.security.krb5.KrbException: Server not found in Kerberos database (7)
heasy's blog
07-28 4513
首先是问题的几个可能产生原因: 1. 提交任务的客户端节点与集群时间有没有偏差5分钟以上 2. 配置文件是不是客户端上最新的 3. zk依赖包是不是华为的,不能是开源的 4. zookeeper.server.principal 这个参数是不是 zookeeper/hadoop.hadoop.com 依次排查 1、2 没问题 在代码中进行了4的修改 没有改3的情况下 报错依旧 从华为客户端中 /opt/client/Kafka/kafka/libs/目录下拷贝出三个jar包 (不知道具体是哪个有修改
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials"
qq_43552708的博客
04-19 2620
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials" 关于Kerberos KDC主从搭建的帖子有很多,大体的思路都对,但是动手实际搭建一套KDC主从环境就可以发现某些帖子写得还是有些许问题的,这里推荐两个比较好的手册: Kerberos官方文档: http://web.m...
Kinit :Client ‘‘ not found in Kerberos database while getting initial credentials
小海的专栏
11-13 8922
kinit admin报错 Kinit :Client '' not found in Kerberos database while getting initial credentials 密码错误。
Java api访问集群(Kerberos认证不通过)
lhxsir的博客
04-08 1万+
本地环境访问集群OK 生产环境却报错 查找日志信息,发现Kerberos认证的时候,域名解析出现问题?!! 登录生产环境ping 043节点,能ping通说明域名是能解析成IP地址的(有DNS服务器)蓝瘦香菇,明明报错是域名解析问题为什么能ping通呢? 于是把本地Java访问集群代码改成IP试一试,呵呵报错了 Caused by: org.ietf.jgss.GSSException: No v...
kafka】查看消费组报错 Executing consumer group command failed due to Request METADATA failed on brokers Lis
九师兄
06-05 8569
kafka查看消费组报错 cc@lcc bin$ /Users/lcc/soft/kafka/kafka_2.11-1.1.0/bin/kafka-consumer-groups.sh --new-consumer --bootstrap-server localhost:2181,localhost:2182,localhost:2183 --list The [new-consumer] ...
Kafka 认证三:添加 Kerberos 认证详细流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-18 8161
上一章节介绍了 Kerberos 服务端和客户端的部署过程,本章节继续介绍 Kafka 添加 Kerberos 认证的部署流程,及 Java API 操作的注意事项。
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
命令行生产消息到Kerberos认证的kafka
zhiwen
08-18 1235
#zookeeper 192.168.0.187:2181,192.168.0.162:2181,192.168.0.71:2181/kafka #kafka 192.168.0.140:21007,192.168.0.71:21007 kafka-topics.sh --create --zookeeper 192.168.0.187:2181,192.168.0.162:2181,192.168.0.71:2181/kafka --replication-factor 1 --partitions
多租户java 连接开启kerberos认证的kafka/hdfs/hive
xuejyjavacsd的博客
07-20 1350
最近项目中遇到spring mvc项目连接开启kerberos认证的kafka/hdfs/hive时,krb5.conf文件更新后不生效的问题,在和同事的共同努力下终于解决了问题,平时经常在网上搜答案,这次确实涉及相关问题的网上资料比较少,所以决定记下来帮助下遇到相关问题的伙伴们: 1,连接kerberos-kafka 时krb5.conf文件不生效解决方法: 在jaas.conf 文件中设置refreshKrb5Config=true (网上搜到的) 2,连接kerberos-hdfs/hive时k
kafka配置kerberos认证&&java/netcore连接kerberoskafka
yangqin@1225的博客
05-19 4025
安装kdc及配置 安装kdc yum install -y krb5-libs krb5-server krb5-workstation krb5-libs 修改配置文件,将realms以及default_realm取消注释 vi /etc/krb5.conf 创建数据库存放principal kdb5_util create -r EXAMPLE.COM -s 使用kadmin.local来添加kafka以及zookeeper的principal (按q可退出kadmin.loca
CDH5.X安装配置kerberos认证过程
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程中遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节
网络安全—Kerberos认证系统
本散修的一些学习心得与笔记,道友请自便。
11-14 554
首先在其中生成的Session都是作下一次通话是否正确为目的,也就是为了保证认证过程双方身份都是正确的除了客户端不知道KDC的密钥之外,我们在本地使用密钥加密发送过去KDC是知道如何解密的,利用这个特性,KDC就可以使用他自己内部的密钥进行信息加密作为票据,我们无法解密,但是我们发过去响应的时候总是带有时间戳或者客户端信息,我们票据中也带有这些信息,然而这些信息都是KDC才能解密, 所以票据就代表了对方发过来的信息是否有误,可以知道是否疑似超时被截获信息了。
Centos7.9安装kerberos
刘大猫
06-20 1832
假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。:这个文章是真实可行的,但是有执行顺序,一定要先安装“Openldap安装部署”+“Kerberos基本原理、安装部署及用法”之后,确保安装无误后再去安装“Openldap集成Kerberos”。例如,KDC的位置,Kerberos的admin realms等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值