启用Kerberos的Hive操作失误解决

最新推荐文章于 2024-08-12 23:15:00 发布
最新推荐文章于 2024-08-12 23:15:00 发布
阅读量6.7k 收藏
点赞数 1
分类专栏: Bigdata 文章标签: hive 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xwd127429/article/details/106071293
版权

启用了kerberos,需要使用hive主体权限进行授权,但是开始没找到hive主体的keytab,于是决定使用kadmin.local的ktadd命令为hive主体创建一个keytab,创建之后,可以通过keytab使用hive主体权限了,通过beeline连接hive,但是报错GSS initiate failed,突然心一凉,直觉告诉我,玩脱了。。。

查看hive服务,出现告警,查看metastore日志,报错如下:

2020-05-09 15:43:34,632 ERROR org.apache.thrift.transport.TSaslTransport: [pool-9-thread-105]: SASL negotiation failure
javax.security.sasl.SaslException: GSS initiate failed
	at com.sun.security.sasl.gsskerb.GssKrb5Server.evaluateResponse(GssKrb5Server.java:199) ~[?:1.8.0_252]
	at org.apache.thrift.transport.TSaslTransport$SaslParticipant.evaluateChallengeOrResponse(TSaslTransport.java:537) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:283) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.transport.TSaslServerTransport.open(TSaslServerTransport.java:41) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.transport.TSaslServerTransport$Factory.getTransport(TSaslServerTransport.java:216) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.hadoop.hive.thrift.HadoopThriftAuthBridge$Server$TUGIAssumingTransportFactory$1.run(HadoopThriftAuthBridge.java:652) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.hadoop.hive.thrift.HadoopThriftAuthBridge$Server$TUGIAssumingTransportFactory$1.run(HadoopThriftAuthBridge.java:649) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at java.security.AccessController.doPrivileged(Native Method) ~[?:1.8.0_252]
	at javax.security.auth.Subject.doAs(Subject.java:360) [?:1.8.0_252]
	at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1855) [hadoop-common-3.0.0-cdh6.3.2.jar:?]
	at org.apache.hadoop.hive.thrift.HadoopThriftAuthBridge$Server$TUGIAssumingTransportFactory.getTransport(HadoopThriftAuthBridge.java:649) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.server.TThreadPoolServer$WorkerProcess.run(TThreadPoolServer.java:269) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) [?:1.8.0_252]
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) [?:1.8.0_252]
	at java.lang.Thread.run(Thread.java:748) [?:1.8.0_252]
Caused by: org.ietf.jgss.GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
	at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:858) ~[?:1.8.0_252]
	at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342) ~[?:1.8.0_252]
	at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285) ~[?:1.8.0_252]
	at com.sun.security.sasl.gsskerb.GssKrb5Server.evaluateResponse(GssKrb5Server.java:167) ~[?:1.8.0_252]
	... 14 more
Caused by: sun.security.krb5.KrbCryptoException: Checksum failed
	at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:102) ~[?:1.8.0_252]
	at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:94) ~[?:1.8.0_252]
	at sun.security.krb5.EncryptedData.decrypt(EncryptedData.java:175) ~[?:1.8.0_252]
	at sun.security.krb5.KrbApReq.authenticate(KrbApReq.java:281) ~[?:1.8.0_252]
	at sun.security.krb5.KrbApReq.<init>(KrbApReq.java:149) ~[?:1.8.0_252]
	at sun.security.jgss.krb5.InitSecContextToken.<init>(InitSecContextToken.java:140) ~[?:1.8.0_252]
	at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:831) ~[?:1.8.0_252]
	at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342) ~[?:1.8.0_252]
	at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285) ~[?:1.8.0_252]
	at com.sun.security.sasl.gsskerb.GssKrb5Server.evaluateResponse(GssKrb5Server.java:167) ~[?:1.8.0_252]
	... 14 more
Caused by: java.security.GeneralSecurityException: Checksum failed
	at sun.security.krb5.internal.crypto.dk.AesDkCrypto.decryptCTS(AesDkCrypto.java:451) ~[?:1.8.0_252]
	at sun.security.krb5.internal.crypto.dk.AesDkCrypto.decrypt(AesDkCrypto.java:272) ~[?:1.8.0_252]
	at sun.security.krb5.internal.crypto.Aes256.decrypt(Aes256.java:76) ~[?:1.8.0_252]
	at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:100) ~[?:1.8.0_252]
	at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:94) ~[?:1.8.0_252]
	at sun.security.krb5.EncryptedData.decrypt(EncryptedData.java:175) ~[?:1.8.0_252]
	at sun.security.krb5.KrbApReq.authenticate(KrbApReq.java:281) ~[?:1.8.0_252]
	at sun.security.krb5.KrbApReq.<init>(KrbApReq.java:149) ~[?:1.8.0_252]
	at sun.security.jgss.krb5.InitSecContextToken.<init>(InitSecContextToken.java:140) ~[?:1.8.0_252]
	at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:831) ~[?:1.8.0_252]
	at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342) ~[?:1.8.0_252]
	at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285) ~[?:1.8.0_252]
	at com.sun.security.sasl.gsskerb.GssKrb5Server.evaluateResponse(GssKrb5Server.java:167) ~[?:1.8.0_252]
	... 14 more
2020-05-09 15:43:34,637 ERROR org.apache.thrift.server.TThreadPoolServer: [pool-9-thread-105]: Error occurred during processing of message.
java.lang.RuntimeException: org.apache.thrift.transport.TTransportException: GSS initiate failed
	at org.apache.thrift.transport.TSaslServerTransport$Factory.getTransport(TSaslServerTransport.java:219) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.hadoop.hive.thrift.HadoopThriftAuthBridge$Server$TUGIAssumingTransportFactory$1.run(HadoopThriftAuthBridge.java:652) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.hadoop.hive.thrift.HadoopThriftAuthBridge$Server$TUGIAssumingTransportFactory$1.run(HadoopThriftAuthBridge.java:649) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at java.security.AccessController.doPrivileged(Native Method) ~[?:1.8.0_252]
	at javax.security.auth.Subject.doAs(Subject.java:360) ~[?:1.8.0_252]
	at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1855) ~[hadoop-common-3.0.0-cdh6.3.2.jar:?]
	at org.apache.hadoop.hive.thrift.HadoopThriftAuthBridge$Server$TUGIAssumingTransportFactory.getTransport(HadoopThriftAuthBridge.java:649) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.server.TThreadPoolServer$WorkerProcess.run(TThreadPoolServer.java:269) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) [?:1.8.0_252]
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) [?:1.8.0_252]
	at java.lang.Thread.run(Thread.java:748) [?:1.8.0_252]
Caused by: org.apache.thrift.transport.TTransportException: GSS initiate failed
	at org.apache.thrift.transport.TSaslTransport.sendAndThrowMessage(TSaslTransport.java:232) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:314) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.transport.TSaslServerTransport.open(TSaslServerTransport.java:41) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	at org.apache.thrift.transport.TSaslServerTransport$Factory.getTransport(TSaslServerTransport.java:216) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
	... 10 more

经过观察和回顾刚才的操作,这绝对是kerberos认证出问题了,由于我重新生成了hive的凭证票据,导致凭证票据刷新,而正在运行的服务使用的还是未刷新的凭证票据,所以认证无法通过。

于是我进入Cloudera Manager控制台,关闭hive服务,对hive服务进行了重新生成keytab的操作,然后启动hive,但是问题没有解决。

经过无数次无数次无数次的生成keytab,重启服务,我突然观察到,在Cloudera Manager控制台中,hive的启动日志中(之前一直观察的是终端的metastore日志),在执行yarn任务的时候发生了这个错误,此时我恍然大悟,这定然是hive和其他服务的kerberos认证失败导致的,于是我决定重启整个集群。

重启完整个集群后,服务终于正常了,心累。。。

邢为栋
关注
专栏目录
hive认证kerberoshiveserver2连接失败
weixin_45392855的博客
07-14 1527
beeline -u "jdbc:hive2://192.168.1.231:10000/;principal=hive/test01@PARA.COM"这是连接命令 报错: (上面的命令报错是因为kerberos的域名为三部分,这边少写了一部分) 下边报错后在CM页面看到hive Metastore运行不良,就去看了眼日志 ----------------------------------------------------------------------------------- M..
python连接hive kerberos_python操作具有kerberos认证的hive(impala)
weixin_42386511的博客
12-24 2114
▌前言python中用于连接HiveServer2的客户端有3个:pyhs2,pyhive,impyla。官网的示例采用的是pyhs2,但pyhs2的官网已声明不再提供支持,建议使用impyla和pyhive。我选择的python2.7和impala,运行环境Linux、Windows。▌安装依赖(默认已安装好python2.7、pip)pipinstallsaslpipinstallth...
org.apache.thrift.transport.TTransportException: GSS initiate failed
m0_37759590的博客
07-01 1186
org.apache.thrift.transport.TTransportException: GSS initiate failed
解决:`java.security.GeneralSecurityException: 安全性相关的通用异常`
最新发布
屿小夏.的知识博客
08-12 486
是一个常见的通用异常。这个异常通常与加密、解密、数字签名、密钥管理等安全性相关的操作密切相关。本文将详细探讨这一异常的背景、可能的原因、错误和正确的代码示例,并提出一些在编写代码时需要注意的事项。在实现过程中,可能会因为使用错误的密钥或算法而引发。是一个通用的安全性异常,通常作为其他安全性异常的父类被抛出。,确保您的安全性相关代码更加健壮和可靠。希望本文能够帮助您理解并解决这一常见的报错问题。,我们需要确保使用正确的算法、密钥和其他安全性配置。在这个示例中,如果传入了不正确的加密算法或密钥格式,
DataGrip 连接 Kerberos 认证的 hiveHive JDBC Kerberose Authentication Error: GSS initiate failed 错误
u011307484的博客
02-05 6850
版本:hive-3.1.2 问题描述: 使用工具连接 hive 时,报如下错误: The specified database user/password combination is rejected: [ 08S01] Could not open client transport with JDBC Uri: jdbc:hive2://singlenode:10000/;principal=hive/singlenode@EXAMPLE.COM: GSS initiate failed org.ap
Hive连接+Kerberos认证各种报错及解决办法汇总
一立方星空
12-08 7981
一、环境描述 1.1、项目环境 使用 SpringBoot2.2.1 + MySQL5.7.6 + Shiro + MyBatis + Hive + Hadoop,多模块化,多连接池多数据源管理。 1.2、部署环境 Linux环境下,Hive和Hadoop主机采用的是CDH版本,采用容器化部署方式。 Hadoop 2.6.0-cdh5.14.0 Apache Hive (version 1.1.0-cdh5.14.0) 二、遇到的问题及解决办法 就是连这么个服务器的Hive库,花费了很多时间,也踩了非常
【大数据安全-KerberosKerberos常见问题及解决方案_gss initiate failed
2401_84185397的博客
05-03 2364
请参阅。
java.sercurity.auth.login.LoginException:Checksum failed / KrbException: Checksum failed
zsyoung的博客
08-19 6712
现象: java.sercurity.auth.login.LoginException:Checksum failed KrbException: Checksum failed 可能的原因: 没有用帐号登录: kinit -k -t nn.keytab nn/node-107 kinit nn/node-107 启用Kerberos后,如果没有kerberos票证,则无法访问HDFS ...
KERBEROS控制CDH集群hive数据库的权限
小晨同学的博客
08-30 227
KERBEROS控制CDH集群hive数据库的权限的步骤和心得
kerberos认证hive连接代码
12-05
Hive启用Kerberos,可以确保只有经过授权的用户才能访问数据。 `Hive JdbcListener` 是一个监听器,通常用于监控和管理Hive数据库的连接和操作。在Spring MVC中,我们可以创建一个这样的监听器来处理Hive的连接...
centos7 pyhive连接hive(基于kerberos).docx
10-25
### CentOS 7 使用 PyHive 连接 Hive(基于 Kerberos 认证) 在大数据处理领域,Hive 是一个常用的数据仓库工具,它允许用户通过类似 SQL 的查询语言...这对于那些希望在安全环境下操作 Hive 的用户来说非常有用。
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
在本文中,我们将深入探讨如何使用Python 3.6.5版本通过Kerberos认证来连接Hive和HDFS。Kerberos是一种广泛使用的网络身份验证协议,它为不安全的网络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...
ambari中hive启用kerberos进行jdbc连接操作正确方式
周源的专栏
07-30 6606
启用kerberos后,有两种操作方式连接hive; 1、直接连接: jdbc:hive2://c2eng58:10000/default;principal=hive/c2eng58@EXAMPLE.COM 2、通过zookerper连接 jdbc:hive2://c2eng47:2181,c2eng48:2181,c2eng58:2181/;serviceDiscoveryMode=z...
启用Kerberos后CDH集群的HiveServer2频繁意外退出故障解决附带CDH更新Principal keytab过程
weixin_42240930的博客
09-27 5844
HiveServer2 运行状况 不良 半小时自动退出一次 搜索hive的日志: find / -name  hive-log4j.properties 找到并打开后发现日志位置和名字: log.dir=/var/log/hive log.file=hadoop-cmf-hive-HIVESERVER2-cdh148.log.out 该日志内容过长,于是打开命令调整为: tail...
Hive Metastore动态切换存储引擎方案探索
None
04-19 516
Hadoop统一封装了对底层不同存储引擎的支持,且通过开放一致的API接口,便于调用方切换不同的存储访问,但是在Hadoop之上的Hive因为通过静态的配置方式来访问存储引擎,且对外不暴露接口,调用方切换引擎十分不变,本文来探讨下动态切换存储的可行性和方案。Hadoop如何动态切换存储引擎在Hadoop 的文件系统中能够根据路径和配置信息生成FileSystem,接口定义...
Spark SQL Thrift Server 配置 Kerberos身份认证和权限管理
weixin_30315435的博客
10-25 1106
 转载请注明出处:http://www.cnblogs.com/xiaodf/   之前的博客介绍了通过Kerberos + Sentry的方式实现了hive server2的身份认证和权限管理功能,本文主要介绍Spark SQL JDBC方式操作Hive库时的身份认证和权限管理实现。  ThriftServer是一个JDBC/ODBC接口,用户可以通过JDBC/ODBC连接Thrift...
解决org.ietf.jgss.GSSException异常的正确解决方法,亲测有效!!!
小明的Java问道之路
06-26 1186
解决org.ietf.jgss.GSSException异常的正确解决方法,亲测有效!!!
CDH启用kerberos认证问题导致GSS initiate failed
热门推荐
jaysen1005的博客
03-20 1万+
问题描述:CDH启用Kerberos后使用beeline连接HiveServer2出错,错误信息如下: 解决方案: 先进入CM管理界面,停止hive 然后在管理->安全界面点击Kerberos凭据 在主体中找到hive所依赖的凭据,勾选后重新生成所选项。 生成凭据 然后启动hive,验证成功! 问题解决!!! ...
hive配置Kerbros安全认证
qianfeng_dashuju的博客
07-07 1664
需求: 对新建hadoop集群和hive集群的安全认证安装部署。 ​ 版本: centos 7.7 hadoop 2.7.6 hive 1.2.2 ​ 部署规划: 192.168.216.111 hadoop01 namenode、resourcemanager、datanode、nodemanager、hive、KDC服务 192.168.216.112 hadoop02 datanode、nodemanager、secondarynamenode、kerbros客户端 192.168.216.113.
zeppelin 连接kerberos hive
03-14
Zeppelin是一个开源的数据分析和可视化工具,它提供了一个交互式的笔记本界面,可以用于执行和展示数据分析任务。而Kerberos是一个网络认证协议,用于在计算机网络中进行安全身份验证。Hive是一个基于Hadoop的数据仓库工具,可以进行大规模数据的存储和查询。 要在Zeppelin中连接Kerberos Hive,需要进行以下步骤: 1. 配置Kerberos:首先,确保你的Hadoop集群已经启用Kerberos认证,并且你有一个有效的Kerberos凭证。 2. 配置Zeppelin:在Zeppelin的配置文件中,找到`zeppelin-env.sh`文件,并添加以下配置: ``` export HADOOP_CONF_DIR=/path/to/hadoop/conf export HADOOP_HOME=/path/to/hadoop export HADOOP_USER_NAME=<your_kerberos_principal> ``` 3. 配置Hive Interpreter:在Zeppelin的界面中,进入Interpreter设置页面,找到Hive Interpreter,并进行以下配置: - `hive.server2.authentication.kerberos.principal`: 设置为你的Hive Server2的Kerberos主体。 - `hive.server2.authentication.kerberos.keytab`: 设置为你的Hive Server2的Kerberos密钥表路径。 4. 保存配置并重启Zeppelin:保存所有配置更改,并重新启动Zeppelin服务。 完成以上步骤后,你应该能够在Zeppelin中连接到Kerberos Hive,并执行相关的数据分析任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值