sh 脚本 获取环境变量_0614-同一OS用户并行Shell脚本中kinit不同的Principal串掉问题...

最新推荐文章于 2024-06-11 16:57:11 发布
最新推荐文章于 2024-06-11 16:57:11 发布
阅读量550 收藏
点赞数
文章标签: sh 脚本 获取环境变量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30704893/article/details/113492503
版权

1.文档编写目的

在前面的文章《0552-5.15.0-同一OS用户不同Kerberos用户执行脚本Principal串掉》中Fayson主要介绍了同一个OS用户下并发调度Python脚本时会导致Principal账号串掉,通过在Python代码中指定KRB5CCNAME环境变量解决问题,本篇文章Fayson主要介绍通过同一OS用户下并发调度Shell脚本进行不同用户Kerberos认证时Principal账号串掉问题分析及解决。

  • 测试环境

1.RedHat7.3

2.CDH5.16.1

2.问题描述

Fayson通过一段简单的shell脚本示例代码说明问题,在代码中执行kinit命令初始化Kerberos信息,通过hadoop命令去统计各自用户目录下子目录大小,具体代码如下:

a_fayson.sh脚本内容如下:

[root@cdh4 shell-test]# more a_fayson.sh kinit -kt /root/shell-test/fayson.keytab faysonklisthadoop fs -du -h /user/fayson

a_cdhadmin.sh脚本内容如下:

[root@cdh4 shell-test]# more a_cdhadmin.sh kinit -kt /root/shell-test/cdhadmin.fayson cdhadminklisthadoop fs -du -h /user/cdhadmin
ca9297de360458a7bd0268e25ef55af0.png

在同一个用户的OS下创建a_fayson.sh和a_cdhadmin.sh的两个shell脚本,分别使用fayson和cdhadmin用户初始化Kerberos信息。

在crontab中添加两个定时任务,使两个任务同时并发

cdf6c6102e7a0f99cc5a321be3b2e4b4.png

在生成的a_fayson.log和a_cdhadmin.log中可以看到两个脚本会获取到对方的Principal信息

02fc638bbf7b6509b35dfe9db887efe5.png

通过两个脚本输出的日志可以看到a_fayson.log中kinit的是fayson用户,但在执行hadoop命令的时候显示的为cdhadmin,此时Principal账号串掉导致命令执行失败。

3.问题分析

1.首先在客户端进行Kinit操作后,默认的Ticket Cache是存储在tmp/krb5cc_0临时文件中(Ticket cache文件是根据当前用户的uid在/tmp目录下生成一个以krb5cc_开头的临时文件)。

2.由于上述的两个脚本是在同一个OS用户下,所以两个不同的Kerberos用户在进行Kinit操作后都会覆盖/tmp/krb5cc_{uid}文件

f53afab8eee45c9f79b0e7cec78401d6.png

根据上述两点基本可以定位问题的原因,因为Ticket cache文件被覆盖导致Kerberos的票据信息串掉。由于两个shell脚本使用了同一份Ticket cache文件导致Kerberos的票据信息串掉。

4.解决方法一

将脚本进行简单的修改,在脚本中指定KRB5CCNAME的环境变量,具体修改在shell脚本中增加如下内容:

a_fayson.sh脚本内容如下:

[root@cdh4 shell-test]# more a_fayson.sh export KRB5CCNAME=/tmp/fayson_ccnamekinit -kt /root/shell-test/fayson.keytab faysonklisthadoop fs -du -h /user/fayson
fef267a9bf039ed427a5f070cc541b9d.png

a_cdhadmin.sh脚本内容如下:

[root@cdh4 shell-test]# more a_cdhadmin.sh export KRB5CCNAME=/tmp/cdhadmin_ccnamekinit -kt /root/shell-test/cdhadmin.keytab cdhadminklisthadoop fs -du -h /user/cdhadmin
c82f02cd16ce08f44fb948f5654ebd69.png

将脚本进行如上修改后,再次运行发现问题解决,未出现Principal串掉的问题

b8aaf5aa4a79c19c159c3b923df420cd.png
75c6a656d434fac10c56f9e0903ec852.png

5.解决方法二

在脚本中使用了C shell(csh)命令,C shell是一个交互式命令解释器和一种编程语言,采用的语法类型于C编程语言。在C shell中我们可以指定KRB5CCNAME环境变量,具体实现方式如下:

1.在OS命令行执行如下命令安装csh命令

[root@cdh4 shell-test]# yum -y install csh
dbf4ddc0fcfed20e6e613bfdcb50474f.png

2.修改上述的两个脚本,具体修改如下:

a.sh脚本内容如下:

[root@cdh4 shell-test]# more a.sh #!/usr/bin/cshsetenv KRB5CCNAME /tmp/fayson_ccnameenv |grep KRB5CCNAMEkinit -kt /root/shell-test/fayson.keytab faysonklisthadoop fs -du -h /user/fayson
e3fe51c6483745e4bd164bd746f0f2cf.png

b.sh脚本内容如下:

[root@cdh4 shell-test]# more b.sh #!/usr/bin/cshsetenv KRB5CCNAME /tmp/cdhadmin_ccnameenv |grep KRB5CCNAMEkinit -kt /root/shell-test/cdhadmin.keytab cdhadminklisthadoop fs -du -h /user/cdhadmin
721a7db6ea3c16a11b8aeedd71f27acf.png

3.使用crontab定义两个并发的定时任务

*/1 * * * * source /etc/profile & csh /root/shell-test/a.sh >> /root/shell-test/a.log 2>&1 &*/1 * * * * source /etc/profile & csh /root/shell-test/b.sh >> /root/shell-test/b.log 2>&1 &
8dfa674f6aa27ff53c3e44f5883335e2.png

4.通过修改上述两个脚本,在两个脚本中都指定KRB5CCNAME环境变量为不同的文件,再次进行测试未发现两个应用的票据信息串掉的问题。

8b09084c71829e3dc4d4ee316894541a.png

6.总结

1.默认Ticket cache文件的生成是根据用户的uid在/tmp目录下生成一个以krb5cc_开头的缓存文件。

2.如果在同一个OS用户下使用不同的Kerberos用户进行kinit会覆盖/tmp/krb5cc_{uid}文件,从而导致应用中的票据信息串掉。

3.可以通过在shell脚本中为不同的Kerberos用户指定一个独立的Ticket cache文件,以防止票据信息串掉。

4.本篇文章中主要讲述了shell脚本的两种实现方式一种在脚本中使用export的方式指定环境变量,一种使用C shell命令通过setenv方式指定。脚本中的环境变量这里可以理解为局部环境变量,只在当前脚本内有效。

IvanhoeBlack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hadoop配置文件详解系列(一)-core-site.xml篇
关于代码的那些事
03-09 4275
导读:关于hadoop的配置文件,目前其它网站资料都是只写了几个常用的属性配置,但平时可能也会用到其它属性,这里就一起写出来,供大家参考。本篇先从core-site.xml开始,后续将继续进行其它配置文件的梳理。 属性名称 属性值 描述 hadoop.common.configuration.version 0.23.0 配置文件的版本。 hadoop.tmp.dir /tmp/hadoop-${user.name}
zookeeper java.env_zookeeper、hbase集成kerberos
weixin_30188669的博客
02-13 833
1、KDC创建principal1.1、创建认证用户登陆到kdc服务器,使用root或者可以使用root权限的普通用户操作:# kadmin.local -q “addprinc -randkey hbase/yjt”# kadmin.local -q “addprinc -randkey zookeeper/yjt”# kadmin.local -q “addprinc -randkey zkc...
sh 脚本 获取环境变量_让脚本代替你大部分工作
weixin_35684578的博客
02-01 1734
有些重复性的工作,如果能用脚本代替,那就「毫不犹豫」用脚本把这些工作替代吧。自工作以来我一直追求这种工作模式,自学了 python 和 shell,比如以前做 iOS 的时候,我写了一些脚本:做前端以后,发现用 node 实现脚本更方便,对于前端项目来说,npm 天生支持执行脚本,最近改造 element-ui 深有体会,改造后可以做到:1、发布网站时执行 npm run deploy...
shell脚本环境变量
myhyyyyyy的博客
06-14 6842
环境变量 设置及文件 关闭后系统回收 永久清空:文件 /etc/skel 当前环境生效 export 共享 su - 切换环境及用户 用户级 系统级 所有人生效 用户级文件 [root@des ~]# vim .bash_profile export a=1 [root@des ~]# exit [kiosk@foundation1 ~]$ ssh root@172.25.254.101 ###系...
shell脚本和变量
最新发布
扮瘦人的博客
06-11 1333
shell脚本粗讲,变量粗讲
shell脚本环境变量
平庸
02-25 596
环境变量 环境变量可以分成两种:全局变量与局部变量 linux的全局变量是linux系统提前定义好的变量,不管是root还是普通用户登录系统,都是默认使用系统提前定义好的环境变量。 局部变量它只在当前的shell环境有效,当进入子程序或新的子shell环境时,局部变量将无法再使用。 可以通过一个简单的例子,来理解全局和局部的区别 [root@linus ~]# echo $LANG zh_CN...
shell执行脚本的方法及环境变量
qq_53715074的博客
01-30 4966
(3)source ./filename.sh(使用当前进程执行,source命令是一个shell内部命令,其功能是读取指定的shell程序文件,并且依次执行其的所有的语句,并没有创建新的子shell进程,所以脚本里面所有创建的变量都会保存到当前的shell里面)**原因:**当用户登录时会自动读取bash文件的所有环境变量,但是我们刚刚写入的环境变量是root用户登录后写入的,因此root用户还没有没有读取到ENV_ROOT。shell内置的环境变量是所有的shell程序都可以使用的变量。
0614-5.16.1-同一OS用户并行Shell脚本kinit不同Principal串掉问题分析
Hadoop_SC的博客
10-20 771
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 在前面的文章《CDH5.15.0-同一OS用户不同Kerberos用户执行脚本Principal串掉问题分析》Fayson主要介绍了同一OS用户下并发调度Python脚本时会导致Princ...
linux-expect模拟键盘输入实现定时登录教程.zip
12-27
在Linux环境,有时我们需要自动化执行一些需要交互的任务,比如定时登录到远程服务器。"expect"工具就是为此设计的,它可以...在实际工作,根据具体需求,你可能需要对上述脚本进行调整,以适应不同的环境和场景。
hadoop-fuse-dfs安装.docx
07-30
- 不要在操作系统层面设置`HADOOP_HOME`环境变量,因为这可能会与Hadoop-Fuse-Dfs定义的同名环境变量发生冲突。正确做法是在Hadoop-Fuse-Dfs的配置文件指定Hadoop的安装路径。 #### 五、小结 通过上述步骤,...
shell 读取变量
Lxn2zh的博客
09-15 1097
可以通过$variable来读取变量,如果变量是一段命令的话,可以将命令放在括号shell会将这个这个命令进行执行,替换为命令的输出结果,该过程称为命令替换。上述方式是静态的在命令行或者脚本使用赋值语句来给变量赋值,使用起来对用户并不友好,所以可以使用read来接收键盘输入的变量,与位置参数变量相比更适合于人机交互。shell变量包括两种:环境变量用户定义变量。环境变量用于定制shell的运行环境,保证shell的正确运行,可以参考。用户定义的变量在shell脚本用来作为临时的存储空间。
csh shell_06145.16.1同一OS用户并行Shell脚本kinit不同Principal串掉问题分析
weixin_39617497的博客
11-22 126
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文的图片放大查看高清原图。Fayson的github:https://github.com/fayson/cdhproject提示:代码块部分可以左右滑动查看噢1文档编写目的在前面的文章《CDH5.15.0-同一OS用户不同Kerberos用户执行脚本Principal串掉问题分析》Fayson主要介绍了同一OS用户下...
0552-5.15.0-同一OS用户不同Kerberos用户执行脚本Principal串掉问题分析
Hadoop_SC的博客
11-30 539
1 文档编写目的 在集群启用Kerberos后,使用同一OS用户在客户端并发调度Python代码获取Hive数据(代码使用不同的kerberos用户kinit),会出现两个作业的认证混乱获取到的票据串掉。本文Fayson主要分析Kerberos环境同一OS用户下并发执行不同身份认证的Python代码会导致Principal串掉问题解决。 测试环境 1.CDH5.15.0 2.Redhat7...
【kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2
2401_84166878的博客
04-13 240
以上环境变量常用的有:krb5.conf或krb5.ini文件路径KRB5CCNAME:kerberos cache文件路径(注:此文件可由MIT kerberos客户端生成)
Kerberos 命令使用
raven_41的专栏
11-01 1253
认证登录 kinit admin/admin@EXAMPLE.COM Password for admin/admin@EXAMPLE.COM: 123456 查询登录 klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: admin/admin@EXAMPLE.COM Valid starting ...
shell脚本4】shell环境变量的设定
weixin_48819467的博客
07-16 3008
一.变量的定义 一、定义本身 变量就是内存一片区域的地址 二、 变量存在的意义 命令无法操作一直变化的目标,用一串固定的字符来表示不固定的目标可以解决此问题 二.shell脚本变量的定义方法 一、环境级别 export a=1 开启新的shell依然生效 二、用户级别 vim ~/.bash_profile \\\ export a=1 \\\ source ~/.bash_profile ssh退出登陆,再次进入相同用户后依然生效 三、系统级别 vim /etc/profile.d/westos.
shell脚本的变量
小郑
02-18 627
变量名也不能用特殊符号,特别是bash内置变量,可以用字母和下划线。变量定义会被覆盖,变量定义严格区分大小写。环境变量:当前进程有效,可被子进程调用。全局变量:所有的用户都可以继承和调用。本地变量:a=hello。变量的定义、获取和取消。
『现学现忘』Shell变量 — 13、环境变量(二)
繁华似锦Fighting
09-10 606
文章目录(三)系统自带的环境变量——PS1环境变量1、PS1变量的作用2、PS1变量的查看2、PS1可以支持的选项3、PS1环境变量的配置4、总结(四)系统自带的环境变量——LANG语系变量1、LANG语系变量介绍2、如何查看Linux支持的语系呢?3、查看当前系统的语系4、总结 (三)系统自带的环境变量——PS1环境变量 1、PS1变量的作用 PS1变量:命令提示符设置。也就是[root@localhost ~ ] #的设置 PS1是一个很有意思的变量,是用来定义命令行提示符的,可以按照我们自己的需求来
kinit -kt /etc/keytabs/keytab kafka/tos_demo@DEMO.TDH 转换为java代码
03-02
The `kinit` command is typically used to obtain and cache a Kerberos ticket-granting ticket (TGT) for a user or service principal. The `-kt` option specifies the path to the keytab file containing the service principal's key, and the principal name `kafka/tos_demo@DEMO.TDH` specifies the service principal to use for authentication. Here is an example Java code snippet that shows how to use the `javax.security.auth.Subject` and `javax.security.auth.login.LoginContext` classes to obtain a Kerberos TGT using a keytab file: ```java import javax.security.auth.Subject; import javax.security.auth.login.LoginContext; import javax.security.auth.login.LoginException; import java.io.File; public class KerberosAuthenticator { public static void main(String[] args) { String keytabPath = "/etc/keytabs/keytab"; String principalName = "kafka/tos_demo@DEMO.TDH"; // Set up the Kerberos login configuration System.setProperty("java.security.auth.login.config", "/etc/krb5.conf"); // Create a new subject to hold the Kerberos credentials Subject subject = new Subject(); // Create a new login context using the keytab and principal try { LoginContext loginContext = new LoginContext("KafkaClient", subject, null, new KeytabPrincipalAuthenticationModule(keytabPath, principalName)); loginContext.login(); } catch (LoginException e) { System.err.println("Failed to login: " + e.getMessage()); return; } // Print out the Kerberos ticket details System.out.println("Kerberos ticket granted to:"); subject.getPrincipals().forEach(System.out::println); } private static class KeytabPrincipalAuthenticationModule implements javax.security.auth.spi.LoginModule { private final String keytabPath; private final String principalName; private boolean succeeded = false; public KeytabPrincipalAuthenticationModule(String keytabPath, String principalName) { this.keytabPath = keytabPath; this.principalName = principalName; } @Override public void initialize(Subject subject, CallbackHandler callbackHandler, java.util.Map<String, ?> sharedState, java.util.Map<String, ?> options) { } @Override public boolean login() throws LoginException { // Create a new Kerberos login configuration based on the specified keytab and principal javax.security.auth.login.Configuration config = new javax.security.auth.login.AppConfigurationEntry[] { new javax.security.auth.login.AppConfigurationEntry( "com.sun.security.auth.module.Krb5LoginModule", javax.security.auth.login.AppConfigurationEntry.LoginModuleControlFlag.REQUIRED, java.util.Map.of( "useKeyTab", "true", "keyTab", keytabPath, "principal", principalName, "storeKey", "true", "doNotPrompt", "true" ) ) }; // Attempt to authenticate using the keytab and principal javax.security.auth.login.LoginContext context = new javax.security.auth.login.LoginContext("", null, null, config); context.login(); // Add the Kerberos credentials to the subject succeeded = true; subject.getPrivateCredentials().add(context.getTicket()); return true; } @Override public boolean commit() throws LoginException { return succeeded; } @Override public boolean abort() throws LoginException { return false; } @Override public boolean logout() throws LoginException { subject.getPrivateCredentials().clear(); return true; } } } ``` This code defines a `K
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值