温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github:
https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢
1 文档编写目的
参考Fayson前面的文章《0469-如何使用DBeaver访问Kerberos环境下的Impala》,环境变量也配置了,krb5.conf文件也准备好了,但在使用SQL客户端攻击DBeaver访问Kerberos环境下的Impala时总是提示“Unable to connect server:GSSinitiate failed”异常。本篇文章主要详细的介绍在Window客户端使用DBeaver访问Kerberos环境下的Impala配置异常分析及处理过程。
- 测试环境
1.CDH6.1.0
2.DBeaver5.2.5
3.Impala JDBC驱动2.6.2.1003
2 前置环境说明
按照前面的文章介绍以及在客户机上配置好了Kerberos的环境变量和Krb5.conf文件,具体如下:
1. C:ProgramDataKerberos5目录下下的krb5.ini配置文件
2.已配置好的KRB_CONF和KRB5CCNAME全局环境变量
注意:KRB5CCNAME所指定的路径必须存在,如果不存在则自己手动创建。krb5ccname缓存文件则可以不用创建。
3.Kerberos客户端测试成功
3异常描述及分析
完成上述的Kerberos客户端配置后,接下来按照之前的文档《0469-如何使用DBeaver访问Kerberos环境下的Impala》配置DBeaver访问Kerberos环境下的Impala出现如下异常提示:
由于在配置中开启了访问Kerberos的Debug模式,可以通过DBeaver的客户端日志进行分析(DBeaver客户端日志一般放在当前用户默认的workspace目录下)
通过客户端日志看到如下信息,在krb5.ini配置文件中指定了KDC服务为sgpx123-321,但在日志中仍然在通过getKDCFromDNS查找dns地址,并且日志中显示”send:kdc=ZL-DC01”,ZL-DC01为当前客户端的DNSServer地址,说明加载的krb5.ini文件中并未正确查找到KDC服务地址。
4异常解决
通过在DBeaver的配置文件dbeaver.ini配置中直接指定KDC和Reaml参数
重启DBeaver客户端然后再次连接Kerberos环境下的Impala,添加URL模板
jdbc:impala://{host}:{port}/{database};AuthMech=1;KrbRealm=FAYSON.COM;KrbHostFQDN={host};KrbServiceName=impala;KrbAuthType=2
设置要访问的Impala主机和库名
完成上述配置后,点击“测试连接”
打开创建成功的数据库连接显示如下
5其它异常
在配置Impala JDBC连接是指定的是ImpalaDaemon的ip地址,进行测试连接时报如下错误:
查看DBeaver客户端日志有如下异常:
在异常日志中发现在指定Impala Daemon服务端的Principal账号时是通过impala/10.1xx.2xx.xx@FAYSON.COM,说明通过JDBC URL中指定的参数,最终拼装的服务端Principal账号异常导致问题。
解决方法:
通过将ImpalaDaemon节点的IP地址修改为hostname,访问正常。
6总结
1. 关于DBeaver使用krb5.conf文件,认证失败通过源码的分析发现,由于KDC服务器使用的hostname为短名称而非标准的FQDN格式导致,无法通过krb.conf的信息组装成正确的KDC服务的hostname,所以这里可以直接指定java.security.krb5.kdc和java.security.krb5.reaml参数来解决该问题。
2. 在访问Kerberos环境的Impala时,需要根据JDBC携带的参数拼装访问Impala Daemon服务的Principal账号,如果指定IP地址则会导致拼装的Principal在KDC数据库中找不到,所以JDBC参数指定时需要使用Impala Daemon节点的hostname。
参考:
http://www.cnblogs.com/lixiaolun/p/8317146.html
1674
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
