Client cannot authenticate via:[KERBEROS]

最新推荐文章于 2023-07-17 18:46:10 发布
最新推荐文章于 2023-07-17 18:46:10 发布
阅读量556 收藏
点赞数 2
分类专栏: kerberos配置大數據環境 hadoop 文章标签: kerberos hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37759590/article/details/131526999
版权

Kerberos验证:

提示:这里简述项目相关背景:

Keberos验证出现了问题,找了很久的问题,原因在于自己刚刚接触kerberos,很多东西都不清楚

在使用kerberos驗證時,如下了如下的bug:

提示:一直搞不太懂keerberos驗證失敗的原因:

如下,我想要使用yarn用戶查看一下ResourceManager HA的狀態,但是報kerberos驗證失敗的錯誤:

[root@hadoop103 ~]# sudo -i -u yarn yarn rmadmin -getServiceState rm1
2023-07-04 07:30:26,604 WARN ipc.Client: Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[KERBEROS]
Operation failed: DestHost:destPort hadoop102:8033 , LocalHost:localPort hadoop103/172.16.10.138:0. Failed on local exception: java.io.IOException: org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[KERBEROS]

[root@hadoop103 ~]# sudo -i -u hdfs yarn rmadmin -getServiceState rm2
2023-07-04 07:30:29,338 WARN ipc.Client: Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[KERBEROS]
Operation failed: DestHost:destPort hadoop103:8033 , LocalHost:localPort hadoop103/172.16.10.138:0. Failed on local exception: java.io.IOException: org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[KERBEROS]

原因分析:

kerberos验证有兩种方式,是不可以混淆的:密码认证和秘钥文件认证

1.密码认证

1)使用kinit进行主体认证,并按照提示输入密码

[root@hadoop102 ~]$ kinit test
Password for test@EXAMPLE.COM:

2)查看认证凭证

[root@hadoop102 ~]$ klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test@EXAMPLE.COM

Valid starting       Expires              Service principal
10/27/2019 18:23:57  10/28/2019 18:23:57  krbtgt/EXAMPLE.COM@EXAMPLE.COM
	renew until 11/03/2019 18:23:57

2 秘钥文件认证

1)生成主体test的keytab文件到指定目录/root/test.keytab
Xst专门用来生成密钥文件

[root@hadoop102 ~]$ kadmin.local -q "xst -norandkey -k  /root/test.keytab test@EXAMPLE.COM"

注:-norandkey的作用是声明不随机生成密码,若不加该参数,会导致之前的密码失效。(后续就只能使用密钥文件登录,randkey)
2)使用keytab进行认证

[root@hadoop102 ~]$ kinit -kt /root/test.keytab test

3)查看认证凭证

[root@hadoop102 ~]$  klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test@EXAMPLE.COM

Valid starting       Expires              Service principal
2023-05-15T11:34:21  2023-05-16T11:34:21  krbtgt/EXAMPLE.COM@EXAMPLE.COM

我混淆的地方在于将这两种方式进行了混合使用,在执行了秘钥文件的命令下,又使用了kadmin.local cpw rm/hadoop102的命令去更改了rm/hadoop102 principal的密码,后面再使用kinit -kt 去验证,发现验证失败

[root@hadoop103 keytab]# kinit -kt rm.service.keytab rm/hadoop103
kinit: Password incorrect while getting initial credentials

后面我把keytab文件删除,之后再进行kinit -kt验证依旧失败

[root@hadoop103 keytab]# kinit rm/hadoop103
Password for rm/hadoop103@EXAMPLE.COM: 
kinit: Password incorrect while getting initial credentials

解决方案:

提示:这里填写该问题的具体解决方案:

如果出现了以上的问题,建议:
1.先使用kadmin.local命令删除rm/hadoop102 principal

[root@hadoop102 ~]# kadmin.local 
Authenticating as principal rm/admin@EXAMPLE.COM with password.
kadmin.local:  
?                 ank               delpol            getpol            get_principal     get_strings       list_policies     lock              modprinc          renprinc          
addpol            change_password   delprinc          get_policies      get_principals    getstrs           listpols          lr                purgekeys         setstr            
add_policy        cpw               delstr            get_policy        getprincs         ktadd             list_principals   modify_policy     q                 set_string        
addprinc          delete_policy     del_string        getpols           getprivs          ktrem             listprincs        modify_principal  quit              unlock            
add_principal     delete_principal  exit              getprinc          get_privs         ktremove          list_requests     modpol            rename_principal  xst               
kadmin.local:  delprinc 
anaconda-ks.cfg  .bash_logout     .bashrc          .cshrc           .pki/            .ssh/            test.keytab      
.bash_history    .bash_profile    .beeline/        .mysql_history   .rnd             .tcshrc          .viminfo         
kadmin.local:  delprinc rm/hadoop102
kadmin.local:  delprinc rm/hadoop102

2.删除相对应的keytab文件
不删除直接覆盖好像是有点问题的,所以建议是将其直接删除

[root@hadoop103 keytab]# rm -rf rm.service.keytab

3.重新执行生成principal和keytab文件

[root@hadoop103 keytab]# kadmin -padmin/admin -wNTVfPQY9kNs6 -q"xst -k /etc/security/keytab/rm.service.keytab rm/hadoop103"
Authenticating as principal admin/admin with password.
Entry for principal rm/hadoop103 with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type camellia256-cts-cmac added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type camellia128-cts-cmac added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.
Entry for principal rm/hadoop103 with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:/etc/security/keytab/rm.service.keytab.

4.使用kinit -kt进行验证

[root@hadoop103 keytab]# kinit -kt  rm.service.keytab rm/hadoop103
[root@hadoop103 keytab]# klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: rm/hadoop103@EXAMPLE.COM

Valid starting       Expires              Service principal
07/04/2023 07:58:45  07/05/2023 07:58:45  krbtgt/EXAMPLE.COM@EXAMPLE.COM
[root@hadoop103 keytab]#

5.重新执行yarn命令

[yarn@hadoop102 keytab]$  yarn rmadmin -getServiceState rm1
standby
[yarn@hadoop102 keytab]$  yarn rmadmin -getServiceState rm2
active

总结

如果使用的是密钥文件,那么请使用kinit -kt进行认证
如果使用的是密码,那么使用输入密码进行验证

m0_37759590
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
hadoopClient cannot authenticate via:[TOKEN, KERBEROS] 的错误 protocol doesn‘t use kerberos
九师兄
07-02 1836
我远程访问带kerberos认证的集群。在进行yarn认证的时候报错。大概这样,然后拷贝对方的文件,只拷贝了一台机器的然后认证的时候如下 这是Hdfs认证经过测试发现,没有问题然后紧接着操作yarn 想获取执行的任务信息 直接不认证获取yarn客户端和,这样认证的客户端都无法,获取yarn信息报错信息如下根据博客:hadoop kerberos java客户端报错背景使用hadoop java客户端访问带有kerberos认证的hadoop集群时,出现了的错误。输出日志 分析上面的日志中有一句可以说明它是已
解决java.lang.SecurityException: JCE cannot authenticate the provider BC问题
04-27
在与银联的对接中,调试过程中报错或使用类似登入加密:java.lang.SecurityException: JCE cannot authenticate the provider BC 进行问题解决,里面包含 bcprov-jdk16-143.jar与bcprov-jdk15-135.jar与具体文件存放路径,有问题可留言
hadoop 使用 kerberos 认证后,hadoop fs -ls 命令、hdfs dfs -ls 无法使用
u011307484的博客
02-05 5402
解决启用 kerberos 认证的 hdfs 集群 遇到的无法使用hadoop、hdfs命令的问题
java module 验证,Java Kerberos身份验证似乎有效,但仍被拒绝
weixin_42356073的博客
02-24 1243
I've got a Java client app and a Java server app, and I'm trying to authenticate to the server via Kerberos. The client basically uses http-components and SPNEGO to make a HTTP GET call, but I always ...
kerberos】org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN,
Mrerlou的博客
02-16 1650
在用SUSE 操作系统安装 CM 大数据平台,在集群开启 kerberos 后,使用 HDFS 命令报错如下: 环境信息 SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5) 仔细看,在使用 klist 命令时,有个 他指向的路径是: 而在执行 命令时,有个 他指向的路径是 默认是去 目录下找 缓存。然后 SUSE 操作系统下 并不是放在 目录下,导致 客户端认为你没有进行 认证。所以报错。在中,我们增加了下面的参数以后
Kerberos 运维中遇到的问题
h952520296的博客
09-29 5485
记录一下有关 Kerberos 错误消息的信息,包括每个错误出现的原因以及解决此错误的方法。
Client cannot authenticate via:[TOKEN, KERBEROS]
cn_lynn的专栏
03-11 3021
kerberos认证报错
Hadoop集成kerberos后,报错:AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]
热门推荐
张伯毅的专栏
03-28 1万+
1. 背景 Hadoop在安装完HDFS之后, WEB UI 访问正常.kinit -kt xxx 认证成功. 然后在命令行执行执行hadoop相关指令的时候,报错. 2. 报错信息 错误信息 : AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS] [root@master01 ~]# klist Ticket cache: KEYRING:persistent:0:krb_ccache_MkHX3zi Defau
passport-negotiate:协商护照(kerberos)身份验证策略
05-30
当服务器请求“协商”时,通过“WWW-Authenticate: Negotiate”标头和 401 响应,浏览器将以“票”的形式获取凭据。 然后浏览器将使用“授权:协商.....”中提供的票证数据重新请求资源。 这对用户是透明的。 Node...
Dr.COM Authenticate Client Installer网通宽带插件
02-16
Dr.COM Authenticate Client Installer网通宽带插件
Authenticate:认证服务
03-07
认证 认证服务
JCE cannot authenticate the provider BC相关包
10-10
1.修改 jre/lib/security/java.security文件 security.provider.9=org.bouncycastle.jce.provider.BouncyCastleProvider, 2.添加2个扩展包到jre/lib/ext目录下:bcprov-jdk15-135.jar bcprov-jdk16-143.jar
解决:org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBERO
最新发布
qq_43688472的博客
07-17 1013
没有去对应的机器上进行kerberos的认证。这个如果没有问题的话。
CDH Kerberos权限问题 org.apache.hadoop.security.accesscontrolexception: client cannot
漫游学海之旅
06-18 2635
问题 CDH集群配置Kerberos后,执行 hdfs dfs -ls / 出现错误 原因分析 客户端没有授权tickets Client cannot authenticate via:[TOKEN, KERBEROS] 解决办法 查找本地keytab文件,keytab文件,一般CDH已经新建了很多keytab文件 find / -name *hdfs.keytab -exec ls -l {} \; 根据查找的文件 选择一个正常的keytab文件,文件大小不能为0,否则会出错 “Unsupp
CM6.3.2启用Kerberos(附问题解决)
qq_18453581的博客
03-07 366
记录CDH启用Kerberos遇到的相关问题及解决方法
hadoop kerberos java客户端报错
upupfeng的博客
12-15 5650
背景 使用hadoop java客户端访问带有kerberos认证的hadoop集群时,出现了Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]的错误。 输出日志 [WARN ] 2020-12-15 15:04:35,904 org.apache.h
client cannot authenticate via
03-16
"client cannot authenticate via" 可能是一个错误信息,提示客户端无法通过某种方式进行身份验证。 如果您想要更具体的帮助,请提供更多上下文和详细信息,以便我可以更好地回答您的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0_37759590

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值