访问开启Kerberos Kafka集群报Identifier doesn‘t match expected value (906)

最新推荐文章于 2024-06-07 17:57:36 发布
最新推荐文章于 2024-06-07 17:57:36 发布
阅读量7.5k 收藏 5
点赞数 1
分类专栏: Java 日志 Spark 文章标签: kafka java 分布式 实时计算 kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianlangstudio/article/details/122936064
版权
日志 同时被 3 个专栏收录
86 篇文章 1 订阅
订阅专栏
Java
47 篇文章 0 订阅
订阅专栏
Spark
23 篇文章 0 订阅
订阅专栏

问题描述:

使用Kafka客户端通过21007端口访问开启Kerberos的集群报以下错误:

javax.security.sasl.SaslException: An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - UNKNOWN_SERVER)]) occurred when evaluating SASL token received from the Kafka Broker. This may be caused by Java's being unable to resolve the Kafka Broker's hostname correctly. You may want to try to adding '-Dsun.net.spi.nameservice.provider.1=dns,sun' to your client's JVMFLAGS environment. Users must configure FQDN of kafka brokers when authenticating using SASL and `socketChannel.socket().getInetAddress().getHostName()` must match the hostname in `principal/hostname@realm` Kafka Client will go to AUTH_FAILED state.

at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.createSaslToken(SaslClientAuthenticator.java:293)

at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.sendSaslToken(SaslClientAuthenticator.java:210)

at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.authenticate(SaslClientAuthenticator.java:178)

at org.apache.kafka.common.network.KafkaChannel.prepare(KafkaChannel.java:64)

at org.apache.kafka.common.network.Selector.pollSelectionKeys(Selector.java:338)

at org.apache.kafka.common.network.Selector.poll(Selector.java:291)

at org.apache.kafka.clients.NetworkClient.poll(NetworkClient.java:260)

at org.apache.kafka.clients.producer.internals.Sender.run(Sender.java:236)

at org.apache.kafka.clients.producer.internals.Sender.run(Sender.java:135)

at java.lang.Thread.run(Thread.java:745)

Caused by: javax.security.sasl.SaslException: GSS initiate failed

at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:211)

at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator$2.run(SaslClientAuthenticator.java:275)

at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator$2.run(SaslClientAuthenticator.java:273)

at java.security.AccessController.doPrivileged(Native Method)

at javax.security.auth.Subject.doAs(Subject.java:422)

at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.createSaslToken(SaslClientAuthenticator.java:273)

... 9 common frames omitted

Caused by: org.ietf.jgss.GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - UNKNOWN_SERVER)

at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:770)

at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:248)

at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)

at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)

... 14 common frames omitted

Caused by: sun.security.krb5.KrbException: Server not found in Kerberos database (7) - UNKNOWN_SERVER

at sun.security.krb5.KrbTgsRep.<init>(KrbTgsRep.java:73)

at sun.security.krb5.KrbTgsReq.getReply(KrbTgsReq.java:259)

at sun.security.krb5.KrbTgsReq.sendAndGetCreds(KrbTgsReq.java:270)

at sun.security.krb5.internal.CredentialsUtil.serviceCreds(CredentialsUtil.java:302)

at sun.security.krb5.internal.CredentialsUtil.acquireServiceCreds(CredentialsUtil.java:120)

at sun.security.krb5.Credentials.acquireServiceCreds(Credentials.java:458)

at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:693)

... 17 common frames omitted

Caused by: sun.security.krb5.Asn1Exception: Identifier doesn't match expected value (906)

at sun.security.krb5.internal.KDCRep.init(KDCRep.java:140)

at sun.security.krb5.internal.TGSRep.init(TGSRep.java:65)

at sun.security.krb5.internal.TGSRep.<init>(TGSRep.java:60)

at sun.security.krb5.KrbTgsRep.<init>(KrbTgsRep.java:55)

... 23 common frames omitted

刚开始遇到报访问timeout或者程序运行卡着看不到或者看到很少的报错信息,后来在项目里添加了日志相关依赖包,才看到比较完整的错误信息。

参考日志依赖:

<dependency>

        <groupId>ch.qos.logback</groupId>

        <artifactId>logback-core</artifactId>

        <version>1.2.3</version>

</dependency>

<dependency>

        <groupId>ch.qos.logback</groupId>

        <artifactId>lagback-classic</artifactId>

        <version>1.2.3</version>

</dependency>

<dependency>

          <groupId>org.slf4j</groupId>

          <artifactId>slf4j-api</artifactId>

          <version>1.7.26</version>

</dependency>

解决方法:

通过报错信息确认可能是服务名称不对,查看KDCServer日志发现:

账号名@xxxx.com for kafka/hadoop.hadoop.com@xxxx.com, Server not found in Kerveros database

对比访问正常的日志使用的服务名是:

kafka/hadoop.xxxx.com@xxxx.com

后在创建Kafka生产者时添加配置项:

kerberos.domain.name = hadoop.xxxx.com

问题解决

一个不安分的程序员
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
kafkakerberos Server not found in Kerberos database LOOKING_UP_SERVER Identifier doesn‘t match
九师兄
01-09 3385
kafkakerberos认证下 kafka 错Bootstrap broker host:ip (id: -1 rack: null) disconnected,然后我想在本地消费试试。
IDEA连接kerberos环境的HDFS集群错整理
NC_NE的博客
02-18 3044
连接hdfs代码 public class HdfsTest { public static void main(String[] args) throws IOException { System.setProperty("java.security.krb5.conf", "hdfs-conf-kerberos\\krb5.conf"); Configuration conf = new Configuration(); conf.set("f
Caused by: KrbException: Identifier doesn't match expected value
tyt叮当tyt的专栏
03-22 8415
使用keytab安全登录认证失败,原因是本地和服务器时间不一致 同步本机和hadoop服务器的时间
【大数据安全-KerberosKerberos常见问题及解决方案_gss initiate failed
2401_84185397的博客
05-03 2236
请参阅。
kerberos: Clock skew too great (37) - PROCESS_TGS
最新发布
玉汝于成
06-07 389
时钟同步问题:所有参与 Kerberos 验证系统的主机都必须在指定的最长时间(称为时钟相位差)内同步其内部时钟。针对这一要求,需要进行另一种 Kerberos 安全检查。如果任意两台参与主机之间的时间偏差超过了时钟相位差,则客户机请求会被拒绝。时钟相位差的最大缺省值为 300 秒(5 分钟)。出于安全原因,不要将时钟相位差增大到超过 300 秒。
桌面发布:FailedIdentifier doesn‘t match expected value (906)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-17 2617
问题描述 Horizon 租户管理平台,开通管理员反馈,桌面发布错: Request to clone virtual machine ‘luxury0009’ - FailedIdentifier doesn’t match expected value (906)
Request to clone virtual machine - FailedIdentifier doesn‘t match expected value (906)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-02 3226
问题描述 在vmware Horizon环境中,某次发桌面,发现发布一直失败,: Request to clone virtual machine ‘busniess0010’ - FailedIdentifier doesn’t match expected value (906)
发布桌面失败错Request to clone virtual machine ‘桌面名‘ - FailedIdentifier doesn‘t match expect
qq_39650606的博客
10-13 153
发布桌面失败错Request to clone virtual machine ‘桌面名’ - FailedIdentifier doesn’t match expected value (906) 处理方案:administrator的密码曾做过更改,需要重新进行域绑定 若是已经屏蔽过的租户门户,则使用地址https://xx.xx.xx.xx/horizonadmin/#/domains进入域绑定页面 ...
租户发桌面时错:Failed identifier does not match expected value906
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-01 809
问题描述 在Horizon Cloud Service/Daas环境租户平台发布桌面时,发布失败,错:克隆桌面时,failed identifier does not match expected value906),如下图: 分析处理 这是因为在租户平台下发克隆桌面任务时,需要管理员权限,而管理员需要通过域租户管理平台注册的域控AD服务器联系,申请授权验证;当管理员用户验证信息过期或失效,或密码已更改时,会造成以上错。 打开租户管理平台的AD注册页面,重新注册AD管理员信息,完成后重新发布桌面,即
Java api访问集群Kerberos认证不通过)
lhxsir的博客
04-08 1万+
本地环境访问集群OK 生产环境却错 查找日志信息,发现Kerberos认证的时候,域名解析出现问题?!! 登录生产环境ping 043节点,能ping通说明域名是能解析成IP地址的(有DNS服务器)蓝瘦香菇,明明错是域名解析问题为什么能ping通呢? 于是把本地Java访问集群代码改成IP试一试,呵呵错了 Caused by: org.ietf.jgss.GSSException: No v...
解决Caused by: GSSException: (Mechanism level: Failed to find any Kerberos tgt)
热门推荐
qq_43688472的博客
12-16 1万+
Caused by: GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt) 解决方法: 1、一种是由于kerberos的keytab权限问题导致,一般用kinit -kt /var/lib/hadoop-hdfs/hdfs.keytab hdfs/admin 类似的命令可以解决。 2、kerberos过期 3、由于JDK的问题: 网上有说针对jdk1.8.44以上版本,
Kerberos认证的kafka常见错误记录
Aspirin's Nest
10-14 1万+
前言 发现网上与kerberos有关错信息少之又少,踩过的坑放在这里,希望可以帮到后来人。 错信息总结 1. principal和keytab不匹配,这种问题,只需要在jaas文件中指定正确的账号密码即可 Caused by: javax.security.auth.login.LoginException: Could not login: the client is being ...
DataGrip 连接 Kerberos 认证的 hive Hive JDBC Kerberose Authentication Error: GSS initiate failed 错误
u011307484的博客
02-05 6775
版本:hive-3.1.2 问题描述: 使用工具连接 hive 时,如下错误: The specified database user/password combination is rejected: [ 08S01] Could not open client transport with JDBC Uri: jdbc:hive2://singlenode:10000/;principal=hive/singlenode@EXAMPLE.COM: GSS initiate failed org.ap
flink学习之sql-client之踩坑记录
cclovezbf的博客
11-16 5247
注意当你使用这个模式运行一个流式查询的时候,Flink 会将结果持续的打印在当前的屏幕之上。如果这个流式查询的输入是有限的数据集, 那么Flink在处理完所有的数据之后,会自动的停止作业,同时屏幕上的打印也会相应的停止。--也可以不用hadoop 其实这里的时候就该反应过来,如果写过flink table api就知道连接hive的时候也是这两个参数。记住我们是搞flink遇到的这个问题,那么这个类和flink肯定相关,找到一个我们引入flinkjar最多的工程。网上的千篇一律是抄袭的。
启动 nodemanger javax.security.sasl.SaslException: GSS initiate failed
weixin_30252709的博客
12-18 2262
最近启动 Hadoop, nodemanger 老挂,kerberos 验证错误,各种查找原因,时间也同步,kint 也能登录到kerberos,一直找不到原因,最后发现是网关和远端的时间同步,但是不在同一个时区导致的问题 org.apache.hadoop.yarn.exceptions.YarnRuntimeException: java.io.IOException: Failed ...
Expected value at 1:0 Expected value at 2:0 Expected value at xx:xx错误的解决,实测解决
Ange1Beats的博客
08-02 4285
json文件出现以下问题: 解决方案: 1.原文件目录下右击-&gt;new file,新建config.json(随便起个名字,后缀是.json就可以); 2.把原来的.json文件内容copy到新建的config.json即可 3.把原文件删除,新建的config.json名字改回来 ps: 如果没有设置配置文件编码的,别忘了右击文件-&gt;properties-&gt;编码改成u...
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unabl
08-24
引用:根据提供的资料,Android中出现"Caused by: java.lang.ClassNotFoundException"的错误,可以通过以下解决办法来处理。引用[2]:提供的代码片段中,可以看到它是通过URL访问一个HTTPS的接口,并且使用了一个AbstractCasProtocolUrlBasedTicketValidator的类。这个类可能导致了"Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unabl"这个异常。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [Android Caused by: java.lang.ClassNotFoundException解决办法](https://download.csdn.net/download/weixin_38703295/12784351)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certific](https://blog.csdn.net/keketrtr/article/details/50724731)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个不安分的程序员

祝您财源广进

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值