Kafka-Kerberos票据刷新问题

已于 2023-11-12 20:00:22 修改
阅读量1k 收藏 1
点赞数
分类专栏: # Kafka 文章标签: kafka kerberos
于 2023-10-01 10:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_meng_h/article/details/133385890
版权

        线上kafka使用了 kerberos 认证,每隔24小时,票据过期,无法自动续期,出现消息发送失败问题。

        从日志可以发现会有如下报错:

2023-09-14 17:48:47,144 [kafka-kerberos-refresh-thread-kafka/hdp-1@HADOOP.COM] [] WARN  [o.a.kafka.common.security.kerberos.KerberosLogin] KerberosLogin.java:216 - [Principal=kafka/hdp-1@HADOOP.COM]: Error when trying to renew with TicketCache, but will retry 
java.io.IOException: Cannot run program "/usr/bin/kinit": CreateProcess error=2, 系统找不到指定的文件。
	at java.base/java.lang.ProcessBuilder.start(ProcessBuilder.java:1128)
	at java.base/java.lang.ProcessBuilder.start(ProcessBuilder.java:1071)
	at org.apache.kafka.common.utils.Shell.runCommand(Shell.java:85)
	at org.apache.kafka.common.utils.Shell.run(Shell.java:76)
	at org.apache.kafka.common.utils.Shell$ShellCommandExecutor.execute(Shell.java:204)
	at org.apache.kafka.common.utils.Shell.execCommand(Shell.java:268)
	at org.apache.kafka.common.utils.Shell.execCommand(Shell.java:255)
	at org.apache.kafka.common.security.kerberos.KerberosLogin.lambda$login$0(KerberosLogin.java:212)
	at java.base/java.lang.Thread.run(Thread.java:829)
Caused by: java.io.IOException: CreateProcess error=2, 系统找不到指定的文件。
	at java.base/java.lang.ProcessImpl.create(Native Method)
	at java.base/java.lang.ProcessImpl.<init>(ProcessImpl.java:492)
	at java.base/java.lang.ProcessImpl.start(ProcessImpl.java:153)
	at java.base/java.lang.ProcessBuilder.start(ProcessBuilder.java:1107)
	... 8 common frames omitted

        由于线上系统日志输出比较多,也并没有对warn级别日志做单独的过滤,所以最初并没有发现这个提示。从报错信息看,相关业务逻辑是在 KerberosLogin 类中。

        其实每次启动项目(springboot+kakfa),KerberosLogin 会初始化 kerberos 认证过程,如下图:

yml文件相关配置:

spring:
  application:
    name: kerberos
  kafka:
    consumer:
      bootstrap-servers: hdp-1:6667,hdp-2:6667,hdp-3:6667
      group-id: kafka-example
      key-deserializer: org.apache.kafka.common.serialization.StringDeserializer
      value-deserializer: org.apache.kafka.common.serialization.StringDeserializer
      enable-auto-commit: true
      auto-commit-interval: 1000
      auto-offset-reset: earliest
    producer:
      bootstrap-servers: hdp-1:6667,hdp-2:6667,hdp-3:6667
      acks: -1
      key-serializer: org.apache.kafka.common.serialization.StringSerializer
      value-serializer: org.apache.kafka.common.serialization.StringSerializer
    security:
      protocol: SASL_PLAINTEXT
    jaas:
      enabled: true
      login-module: com.sun.security.auth.module.Krb5LoginModule
      options:
        useKeyTab: true
        storeKey: true
        useTicketCache: false
        keyTab: file:D:/code/kerberos/kafka.keytab
        principal: kafka/hdp-1@HADOOP.COM
    properties:
      sasl:
        mechanism: GSSAPI
        kerberos:
          service:
            name: kafka
          min:
            time:
              before:
                relogin: 1

        查看 KerberosLogin 源码,isUsingTicketCache (是否使用票据缓存),对应配置中的useTicketCache:

如果 useTicketCache 设置成 true,会经过如下逻辑:

tips: 如果大家查看源码的话,可以关注一下 KerberosLogin 的 login 方法,此方法创建了一个 定时任务的线程,用来解决票据刷新问题的,具体代码我就不贴图啦。

 此方法会调用 shell 命令:

 后续有查看了kafka的官方文档,发现有相关的配置项:

文档链接:Kafka 中文文档 - ApacheCNApache Kafka: A Distributed Streaming Platform.https://kafka.apachecn.org/documentation.html#producerconfigs

        至此找到了问题出现的原因,由于线上项目 useTicketCache 设置成了 true, 导致每次票据刷新的定时任务都会经过上述逻辑,调用 Kerberos kinit 命令,但是项目运行的服务器并没有 kinit,所以出现异常,票据刷新失败。

W_Meng_H
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kafkakafka kerberos TGT renewal thread has been interrupted and will exit
九师兄
08-05 1611
今天操作一个kerberos认证的环境,然后建立topic报错如下我先执行了如下代码然后查看topic如下,我第一眼以为是报错直接退出了,所以没有查询到topic,后来反应到是不是现在还没有topic呢...然后测试如下命令.....发现可以正常创建,和查看,但是每次都会报错。那么这个是什么导致的呢?...
kafka总结:命令+错误+配置项说明
热门推荐
xiaofang2015的博客
08-15 2万+
概念理解: 消息读取方面 kafka中的消息,如果被读取后,可以被重复读取; 如果是被group A的用户读取了,其他组的用户group B组的用户可以读取; 如果被组里user1读取了,组内其他成员B,在从头开始读取时,可以读取到该数据; Consumer group http://www.cnblogs.com/huxi2b/p/6223228.html 个人认为,理解consu...
java kerberos认证 过期_Kerberos安装使用
weixin_39531635的博客
12-25 529
1、安装方式一:【手动编译安装】# 1. 下载界面https://web.mit.edu/kerberos/dist/index.html# 2. 选择下载版本,如:1.17https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz# 3. 解压tar zxvf krb5-1.17.tar.gz# 3. 编译cd krb5-1.17/s...
Kafka配置Kerberos安全认证及与Java程序集成
on the way . . .
01-12 2549
本文主要介绍在 Kafka 中如何配置 Kerberos 认证,以及 java 使用 JAAS 来进行 Kerberos 认证连接。
刷新kerberos授权用户的权限
wj1298250240的博客
11-20 622
sss_cache命令 sss_cache命令是SSSD服务提供的,用于操作缓存。 可以使用sss_cache清除用户信息和组信息等。 sss_cache -E 参考: https://blog.csdn.net/xwd127429/article/details/108474042
kafka实战kerberos(笔记
qq_44912603的博客
12-23 520
环境 版本:kafka_2.12-2.3.0 主机名:orchome LSB Version: :core-4.1-amd64:core-4.1-noarch Distributor ID: CentOS Description: CentOS Linux release 7.5.1804 (Core) Release: 7.5.1804 Codename: Core Linux version 3.10.0-862.el7.x86_64 (builder@kbuilder.dev.centos.org)
Spring Cloud Config 整合kafka实现配置热刷新
new__person的博客
04-02 3400
文章说明:该篇只是作为local环境跑起来,如果是线上,还需要考虑配置文件加密,链接kafka的账号和密码等问题... 一、前置条件:kafka 先跑起来(建议使用docker desktop,简单好用,何乐而不为?) 1.创建一个docker-compose.yml文件 version: '2' services: zookeeper: image: "zookeeper" hostname: "zookeeper.local" container_name: "zoo
java票证管理办法,如何使用Windows Java客户端保存Kerberos服务票证?
weixin_29143339的博客
02-25 167
I've written a simple Java HTTP Client that is running under Windows. The client communicates with a web server which requires Kerberos authentication through SPNego.I'm experiencing two problems:The ...
大数据安全-kerberos技术-kafka安装包,kafka版本:kafka-2.12-3.3.1.tgz
06-07
在下载的压缩包`kafka-2.12-3.3.1.tgz`中,包含了Kafka的最新稳定版本,该版本支持Kerberos整合。安装步骤通常包括解压、配置、启动等过程,确保在配置阶段正确设置了Kerberos相关参数。 总之,KafkaKerberos的...
Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证
最新发布
2401_84264583的博客
04-26 837
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
Kerberos原理及应用
03-04
Kerberos原理简介及2000系统上的应用。
kafka-manager-2.0.0.2
03-28
kafka-manager-2.0.0.2 Ambari的kafka 配置kafka-manager。 CDH、开源也可以步骤一样。 kafka为开启kerberos认证的。 文章中用到的kafka-manager 适配绝大多数。 推荐使用!!!! kafka-manager作用: 管理多个集群...
编译好的kafka-manager包1.3.3.17
03-27
5. **故障排查**:通过查看分区分配和副本分布,Kafka-Manager可以帮助用户识别可能的不平衡问题,比如一些节点上的分区过多,或者副本分布在同一台机器上,这些都是需要调整的潜在问题。 6. **配置调整**:对于...
【微服务】springboot整合kafka-stream使用详解
congge
12-24 9919
kafka stream使用详解
【FLinlk】Flink小坑之kerberos动态认证
九师兄
06-09 4488
1.概述 转载并且补充:Flink小坑之kerberos动态认证 2.官网 这段内容摘抄自官网:Kerberos Authentication Setup and Configuration 配置:Kerberos-based Authentication / Authorization Flink 通过 Kafka 连接器提供了一流的支持,可以对 Kerberos 配置的 Kafka 安装进行身份验证。只需在 flink-conf.yaml 中配置 Flink。像这样为 Kafka 启用 Kerbero
开了安全的kafka集群配置需要更改的参数
rumple的博客
03-08 1540
Three brokers for kafkaFirst: cat /etc/kafka1/conf/jaas.conf  --check jaas.conf  KafkaServer {  com.sun.security.auth.module.Krb5LoginModule required  useKeyTab=true  keyTab="/etc/kafka1/conf/kafka.ke...
Kerberos 的安装和使用
u011250186的博客
11-25 3827
Kerberos 的安装和使用
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase
m0_60607536的博客
04-05 1420
以上可以先在node3节点进行配置,然后分发到node4~node5节点上。如下:在node3~node5各个节点执行如下命令,启动zookeeper。#启动zookeeper#检查zookeeper状态HBase也支持Kerberos安全认证,经过测试,HBase2.5.x版本在经过Kerberos认证后与Hadoop通信认证有异常,具体报错如下:我们这里使用的Hadoop版本为3.3.4,HBase版本选择2.2.6版本。
kerberos】深入理解kerberos票据生命周期
Mrerlou的博客
06-17 2005
查看当前服务器票据 Valid starting:认证的时间,也就是执行kinit的时间:2019-11-27T14:01:44 Expires:失效时间2019-11-28T14:01:44,这个时间是票据当前生命周期的失效时间 renew until:票据一个生命周期过后,都会自动刷新一次获得新的票据,直到2019-12-04T14:01:44,每次刷新后Expires都会变化; 当然也可以手动刷新 手动刷新的话,valid starting和Expires会变,renew until不变 其实可以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值