【kerberos】org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN,

已于 2023-11-28 11:11:39 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: 问题解决 Hadoop ldap+kerberos 文章标签: hadoop apache hdfs
于 2023-02-16 10:50:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrerlou/article/details/129055303
版权

前言

在用SUSE 操作系统安装 CM 大数据平台,在集群开启 kerberos 后,使用 HDFS 命令报错如下:

hdfs dfs -ls /
19/05/29 18:06:15 WARN ipc.Client: Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]
ls: Failed on local exception: java.io.IOException: org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]; Host Details : local host is: "hadoop001/172.17.239.230"; destination host is: "hadoop001":8020;

环境信息

SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5)

问题复现

  1. 先进行认证
kinit -kt hdfs.keytab hdfs

## 查看票据
klist

在这里插入图片描述

export HADOOP_ROOT_LOGGER=DEBUG,console
export HADOOP_OPTS="-Dsun.security.krb5.debug=true -Djavax.net.debug=ssl"
hdfs dfs -ls /

在这里插入图片描述

问题原因

仔细看,在使用 klist 命令时,有个Ticket Cache : Dir 他指向的路径是: /run/user/0/krb5cc/tkt

而在执行 HDFS 命令时,有个 KinitOptions cache name is 他指向的路径是 tmp/krb5cc_0

HDFS 默认是去 /tmp 目录下找 Kerberos 缓存。然后 SUSE 操作系统下 kerberos 并不是放在 /tmp 目录下,导致 HDFS 客户端认为你没有进行 Kerberos 认证。所以报错。

解决方案

/etc/krb5.conf中,我们增加了下面的参数以后,就可以正常kinit,也可以执行hdfs的命令了。

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

在这里插入图片描述

  1. 销毁凭据
kdestroy
  1. 重新认证
kinit -kt hdfs.keytab hdfs
  1. 查看HDS
hdfs dfs -ls /

在重新执行,问题解决!

此外网上还有别的解决方案,但都不是我这种情况。这里也顺便贴下:

方法一:

krb5.conf文件中的default_ccache_name注释掉,然后执行kdestroy,重新kinit,问题解决

方法二:

在 /etc/krb5.conf 里补全了加密方法后
https://www.cnblogs.com/tommyjiang/p/15008787.html

方法三:

代码问题
https://blog.csdn.net/ifenggege/article/details/111243297

kiraraLou
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]
zhengzaifeidelushang的博客
05-21 3870
Zeppelin提交Spark程序到YARN上报Kerberos认证错误: Client.java[run]:755) - Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS] 解决方法: Spark的interpreter添加Kerberos的keyta
详解:Kerberos身份验证技术.docx
10-30
本主题将说明Kerberos身份验证是什么以及Windows Server 2003支持的Kerberos V5协议和扩展如何工作。 在这个主题 什么是Kerberos身份验证? Kerberos版本5身份验证协议的工作原理 Kerberos身份验证工具和设置
Client cannot authenticate via:[TOKEN, KERBEROS]
cn_lynn的专栏
03-11 2892
kerberos认证报错
JDK8 和 JDK17 下基于JDBC连接Kerberos认证的Hive(代码已测试通过)
mizuhokaga的博客
02-02 1376
打开了debug后,如果是正常情况,我们能观察到控制台会打印到krb5.conf相关内容信息,出现问题优先根据debug日志查看,如果没有打印出krb5文件内容,去看看路径/文件权限。之前自研平台是基于jdk8开发的,连接带Kerberos的hive也是jdk8,现在想升级jdk到17,发现过Kerberos的hive有点不一样,特地记录。写了sun.security.krb5.Config 包位于java8中的rt.jar,从java9之后rt.jar and tools.jar 了。
kerb_module_auth-5.4_samect5_somebodyoev_Kerberos_auth.4pyun.com
10-01
This is the kerberos module authentication implementation in C
kerberos:用于node.js的Kerberos
05-01
Kerberos kerberos软件包是Node.js的C ++扩展,它使用linux / osx上的GSSAPI和Windows上的SSPI为kerberos身份验证提供跨平台支持。 该模块中的许多代码都改编自和 。 要求 Linux python v2.7 make 适当的C / C ++编译器工具链,例如 特定于发行版的kerberos软件包(例如Ubuntu上的krb5-dev ) 苹果系统 Xcode Command Line Tools :可以使用xcode-select --install 特定于发行版的kerberos软件包(例如Homebrew上的krb5 ) 视窗 选项1:通过从提升的PowerShell(以管理员身份运行)运行npm install -g windows-build-tools ,使用Microsoft的安装所有必需的工具和配置。
解决:org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBERO
qq_43688472的博客
07-17 957
没有去对应的机器上进行kerberos的认证。这个如果没有问题的话。
CDH Kerberos权限问题 org.apache.hadoop.security.accesscontrolexception: client cannot
漫游学海之旅
06-18 2611
问题 CDH集群配置Kerberos后,执行 hdfs dfs -ls / 出现错误 原因分析 客户端没有授权tickets Client cannot authenticate via:[TOKEN, KERBEROS] 解决办法 查找本地keytab文件,keytab文件,一般CDH已经新建了很多keytab文件 find / -name *hdfs.keytab -exec ls -l {} \; 根据查找的文件 选择一个正常的keytab文件,文件大小不能为0,否则会出错 “Unsupp
Kerberos 运维中遇到的问题
h952520296的博客
09-29 5361
记录一下有关 Kerberos 错误消息的信息,包括每个错误出现的原因以及解决此错误的方法。
hadoop kerberos java客户端报错
upupfeng的博客
12-15 5604
背景 使用hadoop java客户端访问带有kerberos认证的hadoop集群时,出现了Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]的错误。 输出日志 [WARN ] 2020-12-15 15:04:35,904 org.apache.h
【Spark】六、org.apache.hadoop.security.AccessControlException
01-09
Exception in thread main org.apache.hadoop.security.AccessControlException: Permission denied: user=L.MOON, access=WRITE, inode=/user/lsy/result1/_temporary/0:lsy:supergroup:drwxr-xr-x Caused by: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException): Permission
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
JAAS 例子代码,包括如何实现Kerberos Login,执行Action,以及实现Kerberos Delegation.
大数据安全-kerberos技术-hadoop安装包,hadoop版本:hadoop-3.3.4.tar.gz
06-06
大数据安全-kerberos技术-hadoop安装包,hadoop版本:hadoop-3.3.4.tar.gz
apacheds-kerberos-codec-2.0.0-M15-API文档-中文版.zip
04-23
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 赠送Maven依赖信息文件:apacheds-kerberos-codec-2.0.0-M15.pom; 包含翻译后的API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.directory.server:apacheds-kerberos-codec:2.0.0-M15; 标签:server、codec、apacheapacheds、kerberos、directory、jar包、java、API文档、中文版; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻
Hadoop.Security.Protecting.Your.Big.Data.Platform.1491900989
07-14
As more corporations turn to Hadoop to store and process their most valuable data, the risk of a potential breach of those systems increases exponentially. This practical book not only shows Hadoop administrators and security architects how to protect Hadoop data from unauthorized access, it also shows how to limit the ability of an attacker to corrupt or modify data in the event of a security breach. Authors Ben Spivey and Joey Echeverria provide in-depth information about the security features available in Hadoop, and organize them according to common computer security concepts. You’ll also get real-world examples that demonstrate how you can apply these concepts to your use cases. Understand the challenges of securing distributed systems, particularly Hadoop Use best practices for preparing Hadoop cluster hardware as securely as possible Get an overview of the Kerberos network authentication protocol Delve into authorization and accounting principles as they apply to Hadoop Learn how to use mechanisms to protect data in a Hadoop cluster, both in transit and at rest Integrate Hadoop data ingest into enterprise-wide security architecture Ensure that security architecture reaches all the way to end-user access Table of Contents Chapter 1. Introduction Part I. Security Architecture Chapter 2. Securing Distributed Systems Chapter 3. System Architecture Chapter 4. Kerberos Part II. Authentication, Authorization, and Accounting Chapter 5. Identity and Authentication Chapter 6. Authorization Chapter 7. Apache Sentry Chapter 8. Accounting Part III. Data Security Chapter 9. Data Protection Chapter 10. Securing Data Ingest Chapter 11. Data Extraction and Client Access Security Chapter 12. Cloudera Hue Part IV. Putting It All Together Chapter 13. Case Studies
Hadoop】-Hive客户端:HiveServer2 & Beeline 与DataGrip & DBeaver[14]
weixin_63106307的博客
04-24 1524
DataGrip是由JetBrains公司推出的数据库管理软件,DataGrip支持几乎所有主流的关系数据库产品,如DB2、Derby、MySQL、Oracle、SQL Server等,也支持几乎所有主流的大数据生态圈SQL软件,并且提供了简单易用的界面,开发者上手几乎不会遇到任何困难。3、连接成功,在里面我们可以看到我们前面章节所创建的表,这样子就可以在里面操作我们的sql语句的。5、连接成功,在里面我们可以看到我们前面章节所创建的表,这样子就可以在里面操作我们的sql语句的。
Hadoop+Spark大数据技术(微课版)曾国荪、曹洁版 第七章 Spark RDD编程实验
qq_64684039的博客
04-30 215
注意:需要先在hadoop分布式文件系统中创建文件1.先在本地文件系统创建data.txt文件2.启动hadoop分布式文件系统3.上传本地文件data.txt到hadoop分布式文件系统查看分布式文件系统中是否存在data.txt。
Centos7+Hadoop3.3.4+KDC1.15+Ranger2.4.0集成
最新发布
snipercai的博客
04-30 488
Centos7+Hadoop3.3.4+KDC1.15+Ranger2.4.0集成
org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException): Permission denied: user=16426, access=WRITE, inode="/":yxq:supergroup:drwxr-xr-x
06-09
这看起来像是一个 Hadoop 集群上的权限问题。当用户 16426 尝试写入根目录时,出现了权限被拒绝的错误。这可能是因为用户 16426 没有足够的权限来执行此操作,或者是由于 Hadoop 配置不正确导致的。 为了解决这个问题,您可以考虑以下几点: 1. 检查 Hadoop 集群的配置是否正确,特别是与用户权限相关的配置。 2. 确保用户 16426 具有足够的权限来执行所需的操作。您可以尝试使用 chmod 命令更改目录的权限。 3. 确保用户在 Hadoop 集群上具有正确的身份验证和授权。您可以尝试使用 kinit 命令重新获取 Kerberos 凭据,以确保用户具有正确的身份验证。 希望这能帮助您解决问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值