java证书过期时间_Java登录Kerberos认证过期问题

最新推荐文章于 2024-05-05 16:40:24 发布
最新推荐文章于 2024-05-05 16:40:24 发布
阅读量1.2k 收藏 8
点赞数 1
文章标签: java证书过期时间
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42119866/article/details/114305320
版权
本文介绍了JavaWeb应用在使用Kerberos认证时遇到的凭证过期问题,导致查询Hbase失败。源码调试发现Ticket的到期时间未更新。解决思路包括定期刷新凭证或增加凭证有效期。最终采取定时调用`checkTGTAndReloginFromKeytab()`方法更新凭证,确保应用能持续正常运行。
摘要由CSDN通过智能技术生成

问题:

最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期导致查询Hbase失败的问题。

439e723cbd6d5b8b3a8426f674d27f87.png

Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。

spark2-submit \

--master yarn \

--deploy-mode cluster \

--num-executors 3 \

--driver-memory 4g \

--executor-memory 4g \

--executor-cores 2 \

--conf spark.default.parallelism=10 \

--conf spark.shuffle.file.buffe=1024k \

--conf spark.executor.memoryOverhead=4096 \

--class com.hypers.streaming.PanoramaMain \

--conf "spark.executor.extraJavaOptions=-verbose:gc -XX:+PrintGCDetails" \

--principal xxxx \

--keytab xxxx.keytab \

xxxx.jar

但我们自己开发的JavaWeb服务没有该机制,导致Ticket在程序运行时过期失效,最终查询Hbase时提示没有有效凭证,查询失败。

源码调试:

本地调试源码验证后,发现确实是因为Ticket的到期时间每次启动时候都会指定成一个固定的时间,后续也没有进行更新,最终过期导致应用查询Hbase失败。

重新编译了源码,增加了Ticket凭证相关的日志,最终确认了问题就是Ticket没有更新到期有效时间,导致认证过期。打印的日志如下:

checkTGTAndReloginFromKeytab! shouldRenewImmediatelyForTests:false, Time.now():1606492834061, getRefreshTime(tgt):1606526141000, tgt:Ticket (hex) =

0000: 61 82 01 40 30 82 01 3C A0 03 02 01 05 A1 0D 1B a..@0..<........>

0010: 0B 45

最低0.47元/天 解锁文章
西西里上尉
关注
ELK和Kerberos认证
tof
01-12 1014
ELK和Kerberos认证 1.简介 ES从6.4.0开始支持Kerberos认证,此功能不开源,需要会员。但是下载安装功能,可以开启免费试用30天。 注:Elasticsearch简称ES 2.版本 名称 服务器 版本 IP KDC服务端 centos7 1.15.1-50.el7 192.168.174.132 Kerberos客户端 centos7 1.15.1-50.el7 192.168.174.133 Kerberos
java kerberos认证 过期_定位Kerberos 配置常见问题
weixin_34788662的博客
12-25 1623
定位Kerberos配置过程中的问题,可尝试如下步骤,也可学习逗点云的《Kerberos调试系列》课程:1.使用Kerberos Tray或Kerberos List确认有尝试连接的服务的TGS票证。如果有访问的服务的TGS票证并且仍然收到错误消息,考虑以下两种可能性:•可能遇到SPN问题。有关SPN问题的详细信息,可查阅错误: KDC_ERR_PRINCIPAL_NOT_UNIQUE。•可能遇到...
Java登录Kerberos认证过期问题
huangyueranbbc的博客
11-30 7257
问题: 最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期到时查询Hbase失败的问题。 Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。 spark2-submit \ --master yarn \ --deploy-mode cluster \ --num-exec.
java程序中获取kerberos登陆hadoop
weixin_34206899的博客
12-14 694
本文由作者周梁伟授权网易云社区发布。一般我们在使用kbs登陆hadoop服务时都直接在shell中调用kinit命令来获取凭证,这种方式简单直接,只要获取一次凭证之后都可以在该会话过程中重复访问。但是这种方式一个明显的问题就是如果在本次shell中会间隔调用不同的java程序,而这些程序需要访问不同权限的问题,需要在访问前调用各自的ktab文件获得授权。这中场景下情况会变得非常复杂,这时如果把kb...
java kerberos认证 过期_Kerberos安装使用
weixin_39531635的博客
12-25 539
1、安装方式一:【手动编译安装】# 1. 下载界面https://web.mit.edu/kerberos/dist/index.html# 2. 选择下载版本,如:1.17https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz# 3. 解压tar zxvf krb5-1.17.tar.gz# 3. 编译cd krb5-1.17/s...
java kerberos认证 过期_Kerberos和Apache Sentry医疗数据领域实践
weixin_34532234的博客
12-25 273
医疗行为本身决定了患者和医生都不可能隐瞒或者造假,即医疗数据具有普遍的真实性和隐私性,并存在极高的质量和价值。同时,医疗数据覆盖范围广,既是个体的生物学数据,又包含了疾病传播、地区流行病发展等数据,一旦数据泄漏将会带来严重影响。因此,使用网络安全认证和权限管理来对数据资产进行安全加固势在必行。Kerberos 是什么?Kerberos 提供了大数据组件之间的身份认证,简单说就是,当 A 组件去访问...
CDH 6.2.0启用kerberos认证
weixin_45682234的博客
07-06 782
1. 整体说明 集群主机角色划分(cdh6.2.0(续)) n76.aa-data.cn作为master节点,安装kerberos Server 其他节点作为slave节点,安装kerberos client 2. 安装 Kerberos 在 n76.aa-data.cn上安装 krb5、krb5-server 和 krb5-client。 yum install krb5-server -y #klist等命令找不大时执行下面安装 yum install -y krb5-server krb5-works
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2123
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证
程序猿丶HLK
02-28 5154
注:在配置kerberos认证之前,必须先确保成功安装kerberos集群 安装教程:Centos7安装大数据安全认证组件Kerberos。 一、环境说明 环境说明 系统环境 集群节点分布 名称 版本 IP地址 ...
【hadoop】java连接hadoop Kerberos 24小时过期问题
九师兄
02-07 942
文件,如果配置了高可用,会直接加载高可用的ResourceManager,但是现在情况看起来是,虽然客户端配置了,但是实际运行起来发现,客户端不会自动切换。然后就怀疑是第二个问题,然后我就问对方,kerberos是不是有24小时过期问题,他们回复是的,于是我就想起来上个公司,我们的程序一般都是带刷新的功能。最近在做hadoop认证,然后认证成功后,一段时间就会报错,排查了一番,发现可能是如下原因。后来验证了一下,发现我们加载了。然后现在好像一直没遇到问题了。
kerberos认证_0578-5.15.1-Kerberos环境下Java应用程序认证超时异常分析
weixin_39993454的博客
12-03 382
作者:谢敏灵/辉少1.文档编写目的在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序长时间运行作业Kerberos不自动重新认证问题测试环境1.CM和CDH版本为5.15.12.操作系统版本为RedHat7.23.集群已启用Kerberos2.问题描述在使用JDK 8时,在Kerberos环...
Java第十二篇:连接安全版kafka(Kerberos认证)出现的问题解答
专注分享个人所得,希望给大家带来帮助
11-28 1885
内联代码片。
java通过Kerberos认证方式连接hive
最新发布
weixin_44144092的博客
05-05 1898
在数据源管理功能中,需要适配mysql、postgresql、hive等数据源。mysql和postgresql连接方式一致,只需要驱动和jdbcurl即可,而hive背后是大数据集群,多采用Kerberos的方式保护集群环境,要想与大数据集群正常交互,需要经过kdc认证获取ticket,因此获取hive连接前需要先通过Kerberos认证
Java认证kerberos连接hbase成功后,24小时失效问题解决
soongyj的博客
03-22 721
Java认证kerberos访问hadoop集群
关于kerberos认证24小时过期的web项目
张不帅
05-31 1778
文章目录 对于kerberos认证的大数据集群,由于kerberos认证设置了缓存票据时间为24小时, 设置了定时任务,每次在24小时的时候重新认证并获取hbase连接 在重新获取连接的时候断开连接,此时线上的其他查询服务会在这一瞬间统一宕机 具体解决方案, try { UserGroupInformation.loginUserFromKeytab(userName,keyTabFile); long time = 24 * 60 * 60 * 1000;//24
关于kerberos使用keytab安全认证连接hive票据过期问题及解决方法。
热门推荐
weixin_43172032的博客
06-20 1万+
关于kerberos使用keytab安全认证连接hive票据过期问题及解决方法问题描述解决方法 问题描述 本人在使用HiveStreaming的过程中,使用kerberos keytab进行安全验证,程序会保持长期连接。(hive jdbc 连接也要同样的问题登录主要代码: LoginContext lc = new LoginContext(clientName, new TextCall...
Spark 框架安全认证实现
hellozhxy的博客
11-28 2916
导言 随着大数据集群的使用,大数据的安全受到越来越多的关注一个安全的大数据集群的使用,运维必普通的集群更为复杂。 集群的安全通常基于kerberos集群完成安全认证kerberos基本原理可参考:一张图了解Kerberos访问流程 Spark应用(On Yarn模式下)在安全的hadoop集群下的访问,需要访问各种各样的组件/进程,如ResourceManager,NodeManager,N...
java hdfs kerberos 认证超时 Receive timed out
weixin_42130167的博客
09-30 2240
安装需要一些依赖:比如thrift,sasl,等等 Command ""D:\Program Files\PYTHON\python.exe" -u -c "import setuptools, tokenize;__file__='c:\\users\\41590\\appdata\\local\\tem...
CDH_Hadoop5.8 Kerberos快速认证指南
"CDH_Hadoop5.8使用Kerberos进行认证的简易指南" Kerberos是一种强大的网络认证系统,广泛应用于确保企业级Hadoop集群的安全性。在CDH(Cloudera Distribution Including Apache Hadoop)5.8版本中,Kerberos提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值