[1126]kerberos认证相关问题

HDP WARN ipc.Client: Exception encountered while connecting to the server : org.apache.hadoop.securi

KERBEROS安装完以后hdfs命令不能正常使用,修改:重启ambari-server ipactl

参考:https://blog.csdn.net/walykyy/article/details/108407868
https://www.cnblogs.com/tommyjiang/p/15008787.html

kinit: Keytab contains no suitable keys for xxxx@HADOOP.COM while getting initial credentials

正确示例

[root@xxx]# kinit  -kt  yarn.keytab yarn@HADOOP.COM
[root@xxx]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: yarn@HADOOP.COM

执行kinit报错
创建keytab不同用户,即便密码相同,也不可共用同一个keytab文件

[root@xxx]# kinit  -kt  yarn.keytab hdfs@HADOOP.COM
kinit: Keytab contains no suitable keys for hdfs@HADOOP.COM while getting initial credentials

原因:

目前已知是6.x和7.x主机上加密方式异常导致camellia128-cts-cmac,camellia256-cts-cmac这种加密方式不能再6.x主机上正确解密导致。

可能导致问题:

6.x主机上kinit获取principal失败。
cloudera服务refresh异常(出现在6.x主机上),报错是kinit 认证失败。

解决方案:

  • 修改kdc主机上kdc.conf文件中supported_enctypes行,去掉’camellia256-cts:normal camellia128-cts:normal’这两种加密方式。
  • 重启kdc服务。
  • 修改从kdc主机上kdc.conf文件
  • 重启从kdc服务。
  • 执行数据同步(kprop)。
  • 同步客户端配置。

测试验证:

# 当前kdc.conf配置
[dengsc@nfjd-hadoop02-node179 ~]$ sudo grep supported_enctypes /var/kerberos/krb5kdc/kdc.conf 
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

# 获取当前principal信息,key值存在camellia*-cts-cmac
kadmin.local:  getprinc dengsc
Principal: dengsc@HADOOP.COM
Expiration date: [never]
Last password change: Thu Jun 08 14:27:11 CST 2017
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 31 days 00:00:00
Last modified: Thu Jun 08 14:35:59 CST 2017 (root/admin@HADOOP.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 7
Key: vno 5, aes128-cts-hmac-sha1-96
Key: vno 5, des3-cbc-sha1
Key: vno 5, arcfour-hmac
Key: vno 5, camellia256-cts-cmac
Key: vno 5, camellia128-cts-cmac
Key: vno 5, des-hmac-sha1
Key: vno 5, des-cbc-md5
MKey: vno 1
Attributes:
Policy: lockout_policy

# 导出keytab文件时,存在camellia*-cts-cmac加密方式
kadmin.local:  xst -kt dengsc.keytab dengsc
Entry for principal dengsc with kvno 6, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 6, encryption type des3-cbc-sha1 added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 6, encryption type arcfour-hmac added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 6, encryption type camellia256-cts-cmac added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 6, encryption type camellia128-cts-cmac added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 6, encryption type des-hmac-sha1 added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 6, encryption type des-cbc-md5 added to keytab WRFILE:dengsc.keytab.

# klist 查看keytab文件结构,存在camellia*-cts-cmac加密方式
[dengsc@nfjd-hadoop02-node179 ~]$ klist -ket dengsc.keytab 
Keytab name: FILE:dengsc.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (aes128-cts-hmac-sha1-96) 
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (des3-cbc-sha1) 
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (arcfour-hmac) 
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (camellia256-cts-cmac) 
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (camellia128-cts-cmac) 
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (des-hmac-sha1) 
   6 09/19/2017 13:44:46 dengsc@HADOOP.COM (des-cbc-md5) 
   
# 修改kdc.conf
[dengsc@nfjd-hadoop02-node179 ~]$ sudo grep supported_enctypes /var/kerberos/krb5kdc/kdc.conf 
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  
# 重启krb5kdc服务
[dengsc@nfjd-hadoop02-node179 ~]$ sudo service krb5kdc restart
Redirecting to /bin/systemctl restart  krb5kdc.service

# 读取principal信息,camellia*-cts-cmac加密方式已删除
Principal: dengsc@HADOOP.COM
Expiration date: [never]
Last password change: Tue Sep 19 13:32:33 CST 2017
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 31 days 00:00:00
Last modified: Tue Sep 19 13:32:33 CST 2017 (root/admin@HADOOP.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 5
Key: vno 21, aes128-cts-hmac-sha1-96
Key: vno 21, des3-cbc-sha1
Key: vno 21, arcfour-hmac
Key: vno 21, des-hmac-sha1
Key: vno 21, des-cbc-md5
MKey: vno 1
Attributes:
Policy: lockout_policy

# 重新导出princpal
kadmin.local:  xst -k dengsc.keytab dengsc
Entry for principal dengsc with kvno 22, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 22, encryption type des3-cbc-sha1 added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 22, encryption type arcfour-hmac added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 22, encryption type des-hmac-sha1 added to keytab WRFILE:dengsc.keytab.
Entry for principal dengsc with kvno 22, encryption type des-cbc-md5 added to keytab WRFILE:dengsc.keytab.

# klist查看principal查看票据信息
[dengsc@nfjd-hadoop02-node179 ~]$ klist -ket dengsc.keytab 
Keytab name: FILE:dengsc.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
  21 09/19/2017 13:32:33 dengsc@HADOOP.COM (aes128-cts-hmac-sha1-96) 
  21 09/19/2017 13:32:33 dengsc@HADOOP.COM (des3-cbc-sha1) 
  21 09/19/2017 13:32:33 dengsc@HADOOP.COM (arcfour-hmac) 
  21 09/19/2017 13:32:33 dengsc@HADOOP.COM (des-hmac-sha1) 
  21 09/19/2017 13:32:33 dengsc@HADOOP.COM (des-cbc-md5)
  
# kinit 认证
[dengsc@nfjd-hadoop02-node179 ~]$ kinit -kt dengsc.keytab dengsc
[dengsc@nfjd-hadoop02-node179 ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_2190
Default principal: dengsc@HADOOP.COM

Valid starting       Expires              Service principal
09/19/2017 13:58:46  09/20/2017 13:58:46  krbtgt/HADOOP.COM@HADOOP.COM
    renew until 09/26/2017 13:58:46

# 注意,此方法将导致原先的keytab文件失效
[xujun@nfjd-hadoop02-node179 keytab]$ kinit -kt xujun.keytab xunjun
kinit: Keytab contains no suitable keys for xunjun@HADOOP.COM while getting initial credentials

参考:https://blog.csdn.net/weixin_44904163/article/details/122825185
https://www.jianshu.com/p/5d4cdfe7c592

Flink 源码之 安全认证 kerberos 认证:https://blog.csdn.net/qq_21383435/article/details/122523809

Kafka Kerberos认证是Kafka消息队列系统中一种安全认证机制,用于确保Kafka集群中的通信和数据传输的安全性。 Kafka是一个分布式的高吞吐量消息队列系统,可以用于实现实时数据流处理和消息传递。为了保护Kafka集群免受未授权的访问和攻击,Kafka提供了多种安全认证机制,其中之一就是Kerberos认证Kerberos是一种强大的网络认证协议,用于客户端和服务端之间的身份验证和数据传输的加密。Kerberos特别适合于分布式系统,因为它可以使用户在多个系统中共享认证凭证。 Kafka Kerberos认证的工作原理如下: 1. 客户端将请求发送到Kafka集群中的任意一个Broker。 2. Broker发送Kerberos令牌请求给Kerberos认证中心(KDC)。 3. KDC对Broker和客户端进行身份验证,并颁发令牌。 4. Broker将令牌发送回客户端。 5. 客户端使用令牌进行身份验证,并将请求再次发送到Broker,以获取或发送消息。 通过使用Kerberos认证,Kafka可以确保只有经过身份验证的客户端能够连接和与Kafka集群进行通信。这种认证机制可以有效防止未授权的访问和数据泄露风险。同时,Kerberos认证还增加了数据传输的安全性,通过对传输的数据进行加密,防止数据被窃听或篡改。 总而言之,Kafka Kerberos认证是一种在Kafka消息队列系统中确保安全通信和数据传输的有效机制,它通过Kerberos认证和加密技术,实现了身份验证和数据传输的安全性。这可以帮助用户建立安全可靠的消息传递系统,并保护集群免受未授权访问和数据泄露的风险。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周小董

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值