java能否实现访问kerberos和simple安全级别的两个集群(补充解决方案)

最新推荐文章于 2024-05-13 02:47:44 发布
最新推荐文章于 2024-05-13 02:47:44 发布
阅读量3.8k 收藏 7
点赞数 1
分类专栏: java-hadoop 文章标签: java hadoop hdfs kerberos 安全级别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41768413/article/details/82848428
版权

走过路过的java/hadoop大神,帮忙给看看。现在我的java程序,需要同时实现对多个集群的读写,这些集群分别由kerberos和simple这样不同的安全级别,我是在方法中用分支实现的,但是访问时,总是会出现互相影响的情况,基本有两种异常。

如果simple集群访问成功,kerberos集群会失败,异常信息:

org.apache.hadoop.security.AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]

如果kerberos集群访问成功,simple集群会失败,异常信息:

server asks to fall back to simple auth but this client is configured to only allow secure connections

我连接hdfs的java代码如下(其中的FileSystem对象fs返回后,在上下文使用来获取输入流和输出流):

import java.net.URI;
import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.fs.FileSystem;
// iskerberos为判断是否需要kerberos认证,uri指登陆的集群;因为是多线程运行,会有线程同时进入if和else分支
public FileSystem getHdfsStream(Boolean iskerberos, uri) {
    Configuration conf = new Configuration();
    if (iskerberos) {
        System.setProperty("java.security.krb5.conf", "D:\\krb5.conf");
        conf.set("hadoop.security.authentication", "kerberos");
        conf.set("hadoop.security.authorization", true);
        try {
            UserGroupInformation.setConfiguration(conf);
            UserGroupInformation.loginUserFromKeytab(USER_KEY, KEY_TAB_PATH);
            FileSystem fs = FileSystem.get(URI.create(uri), conf);
            return fs;
        } catch (IOException e) {
            e.printStackTrace();
        }
    } else {
        UserGroupInformation.setConfiguration(conf);
        FileSystem fs = FileSystem.get(URI.create(uri), conf);
        return fs;
    }
    return null;
}

我也试了将if和else中创建UserGroupInformation对象,在对象doAs方法下生成fs,详细代码如下:

// ugi是在类中定义的成员变量UserGroupInformation ugi= null
if (iskerberos) {
        System.setProperty("java.security.krb5.conf", "D:\\krb5.conf");
        conf.set("hadoop.security.authentication", "kerberos");
        conf.set("hadoop.security.authorization", true);
        try {
            ugi.setConfiguration(conf);
            ugi.loginUserFromKeytab(USER_KEY, KEY_TAB_PATH);
            FileSystem fs = ugi.doAs(new PrivilegedExceptionAction <FileSystem>) {
                public FileSystem run() thows IOException{
                    return FileSystem.get(URI.create(uri), conf);
            }
            });
            return fs;
        } catch (IOException e) {
            e.printStackTrace();
        }
    } else {
        ugi.setConfiguration(conf);
        ugi.createRemoteUser(USER_KEY);
        FileSystem fs = ugi.doAs(new PrivilegedExceptionAction <FileSystem>) {
            public FileSystem run() thows IOException{
                return FileSystem.get(URI.create(uri), conf);
            }
            });
        return fs;
    }

但是结果依然不行。。。

最近被这个问题困扰了很久,一直没找到解决办法。还烦请给指点一二!

 

 解决方案补充:

设置conf为允许simple模式通过kerberos链接:

import org.apache.hadoop.fs.CommonConfigurationKeys
conf.setBoolean(CommonConfigurationKeys.IPC_CLIENT_FALLBACK_TO_SIMPLE_AUTH_ALLOWED_KEY, true)

可解决Hbase、HDFS、Hive开启和不开启kerberos同时抽取的问题,kafka还存在问题,暂时找不到解决办法。

qq_41768413
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
使用hdfsclient遇到的kerberos解决方法
zju小新的博客
06-23 1万+
这几天忙着测试批量文件上传通过hdfsclient上传hdfs上,刚到第一步就卡住了,遇到了所有程序员几乎都不可避免遇到的问题 那就是认证问题,这里我的集群hdfs连接要认证kerberoskerberos我就不加介绍了,可以去别的博客上看。 当时我是按照跟别的博客一样的写法: 上传本地文件到hdfs上:                Configuration
Kerberos hadoop常见问题汇总
热门推荐
周源的专栏
09-27 1万+
链接:https://github.com/steveloughran/kerberos_and_hadoop/blob/master/sections/errors.md 问题汇总: 1、GSS initiate failed —no further details provided 2、Server not found in Kerberos database (7) or se
Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证(2)
最新发布
2401_84545128的博客
05-13 999
①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等①Windows系统常见功能和命令。
kerberosjava实现
06-07
java语言实现的简单的kerberos,可以对客户端进行AS,tgs的认证
0553-6.1.0-如何使用Java代码同时访问安全和非安全CDH集群
Hadoop_SC的博客
11-30 443
1 文档编写目的 做Hadoop应用开发的过程中,用户会有这样的需求,在同一个Java应用中同时访问安全和非安装的CDH集群。同一个Java应用即同一个进程同一个JVM,由于一些全局的变量可能会导致无法同时访问安全和非安全的集群。本篇文章Fayson介绍下如何使用Java代码同时访问安全和非安全的CDH集群。 内容概述 1.环境准备 2.示例代码准备及运行验证 3.总结 测试环境 1.Re...
java同时访问kerberos和不开kerberos集群
m0_37797416的博客
02-02 1670
ipc.client.fallback-to-simple-auth-allowed把这个参数设置到Configuration中 conf.setBoolean("ipc.client.fallback-to-simple-auth-allowed", true); 可参照hadoop-common中ipc包下的client类,默认此参数是false;...
hdfs客户端实例(kerberos+simple
tian的博客
07-04 5987
1.非安全模式 在非安全模式下,访问hdfs文件系统的客户端代码如下: package ntci.hadoop.hdfs.test; import org.apache.hadoop.classification.InterfaceAudience; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop...
Java访问带有Kerberos认证的HBase
blackice1015的博客
10-26 1万+
Java访问带有Kerberos认证的HBase 开始之前    因为HBase的存储系统是基于Hadoop的存储,现在Hadoop已经增加了Kerberos认证机制,这样HBase的客户端访问HBase数据库的时候也需要进行身份的认证。    Kerberos是一个认证中心,客户端在访问HBase前必须通过认证才能访问,下图是Kerberos的认证图:
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
Java实现Flink订阅Kerberos认证的Kafka消息是一项关键任务,特别是在处理安全敏感的数据流时。本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka的集成,以及如何通过Kerberos进行身份验证。 首先,...
基于Java两个通用安全模块的设计与实现.zip
03-14
本文将深入探讨两个基于Java的通用安全模块的设计与实现,这两个模块旨在提供高效且灵活的安全解决方案。 一、Java安全模型基础 Java的安全模型建立在沙箱机制上,它限制了未经验证的代码对系统资源的访问。核心...
基于Java两个通用安全模块的设计与实现.rar
04-03
在本项目"基于Java两个通用安全模块的设计与实现"中,我们主要关注的是如何利用Java语言构建安全、可靠的软件系统。此毕业设计论文详细探讨了两个关键的安全模块:数据加密和身份验证。这两个模块是现代软件系统中...
基于Java两个通用安全模块的设计与实现(源代码)
10-21
在本文中,我们将深入探讨基于Java两个通用安全模块的设计与实现。这两个模块对于任何Java开发者来说都是至关重要的,因为安全性是任何软件系统的核心组成部分。Java作为一种广泛使用的编程语言,其安全特性使得它...
Simple Kerberos Authentication for Java-开源
05-07
总的来说,"Simple Kerberos Authentication for Java"项目为Java开发者提供了一种轻量级的、易于集成的Kerberos认证解决方案。它简化了复杂的安全协议,使开发者能够专注于他们的核心业务逻辑,同时享受到Kerberos...
Java实现的基于 Kerberos 网络认证协议的分布式应用——邮箱
qq_43794633的博客
06-17 1087
目录1.基本说明2.详细说明(一定要看)3.源码 1.基本说明 开发运行环境:Windows、Eclipse、SQL Server。 项目描述:用户在登录时利用 Kerberos 进行认证,邮箱具有基本的功能包括邮件收发、用户注册、修改密码,同时对邮件利用 RSA 进行签名。小组四人在编写开发文档的前提下使用 Java 进行开发,本人负责的是 AS、EmailServer、DES、RSA 的编写(所有代码已征得同意发出来)。 2.详细说明(一定要看) 该Kerberos并不是其完全体,只是实现了一些,
java代码实现向有kerberos认证的kafka中发送数据
weixin_43865381的博客
08-20 3666
java代码实现向有kerberos认证的kafka中发送avro格式数据 1.在idea中创建一个maven工程 1.1 pom.xml 内容 <dependencies> <dependency> <groupId>org.apache.kafka</groupId> &lt...
kafka开启Kerberos安全认证Java编程生成者与消费组示例
Tu_maimes
07-06 1868
一、相关配置文件 kafka_client_jaas.conf配置项 KafkaClient { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true storeKey=true keyTab="D:\\kafka-connect\\5.5.0\\kafka-schema-test\\src\\main\\resources\\test.service.keytab" useTic
java Hbase API + kerberos windows与linux端代码
麻辣灬小笼包的博客
07-11 270
java hbase api + kerberos + windows端linux端代码
hadoopAccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]
九师兄
03-03 1945
今天要对接华为的hadoop环境,然后我要执行相关的kerberos认证,然后获取到他们的YarnClient。但是报错 他们给的demo案例如下 authentication是主要的安全认证都在这里 做一些检测,然后执行hadoop认证 真正的hadoop认证 在认证中是调用了返回一个用户信息,然后返回给 然后对应的配置文件如下 执行主类运行结果正常,可以看到获取到了Yarn相关的信息 1.2 我的异常 我的跟这个一样的,把他们的Jar包拷贝到我们项目,而且这块认证的跟他们一样,但是我的无法认证通过 然后
java实现Elasticsearch+Kerberos认证
05-30
要在 Java实现 Elasticsearch + Kerberos 认证,可以按照以下步骤进行操作: 1. 配置 Kerberos:在使用 Kerberos 认证之前,您需要配置 Kerberos 客户端并在 Elasticsearch 集群中启用 Kerberos 认证。这通常需要与管理员一起完成,并且可能涉及到修改 Kerberos 相关的配置文件和添加 Kerberos 群组用户等操作。 2. 配置 JAAS 文件:在 Java 应用程序中实现 Kerberos 认证需要使用 JAAS(Java Authentication and Authorization Service)。您需要在应用程序中配置 JAAS 文件来告诉 Java 如何使用 Kerberos 进行身份验证。您可以创建一个名为“krb5.conf”的文件来指定 Kerberos 服务器的位置和其他相关信息,然后在 JAAS 文件中引用此文件。 3. 配置 Elasticsearch 客户端:在 Java 应用程序中连接 Elasticsearch 时,您需要指定 Elasticsearch 客户端的 Kerberos 配置。您可以在 Elasticsearch 客户端中使用 TransportClient 或者 RestClient,具体使用哪种方式需要根据您的需求来确定。对于 TransportClient,您可以使用`org.elasticsearch.xpack.security.authc.support`包中的`KerberosHeader`类来指定 Kerberos 配置;对于 RestClient,您可以使用`org.apache.http.impl.auth`包中的`SPNegoSchemeFactory`类来指定 Kerberos 配置。 4. 编写 Java 代码:最后,在 Java 应用程序中编写代码来连接 Elasticsearch 集群并进行身份验证。您需要使用 JAAS 文件中指定的 Kerberos 凭据来创建一个 Krb5LoginModule,并将其添加到您的应用程序中。然后,使用 Elasticsearch 客户端连接 Elasticsearch 集群,并在请求中添加 Kerberos 认证头信息。例如: ```java Krb5LoginModule krb5 = new Krb5LoginModule(); krb5.initialize(new Subject(), null, new HashMap<>(), new HashMap<>()); krb5.login(); TransportClient client = new PreBuiltTransportClient(Settings.EMPTY) .addTransportAddress(new TransportAddress(InetAddress.getByName("localhost"), 9300)); client.addHeaders(new KerberosHeader(krb5.getTicket())); ``` 以上是基本的步骤,具体实现需要根据您的环境和需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值