安全集群访问非安全集群问题记录

最新推荐文章于 2024-06-19 11:21:32 发布
最新推荐文章于 2024-06-19 11:21:32 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: Bigdata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xwd127429/article/details/110522341
版权

本文描述安全集群访问非安全集群遇到的问题及分析。

案例

使用Hive映射Phoenix表,其中Hive服务在启用kerberos的集群中,Phoenix在另一个未启用Kerberos的集群中。

报错及分析

HUE返回报错:

Error while processing statement: FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.DDLTask. MetaException(message:Failed after attempts=11, exceptions: Thu Dec 03 08:52:11 CST 2020, RpcRetryingCaller{globalStartTime=1606956693172, pause=100, maxAttempts=11}, org.apache.hadoop.hbase.client.RetriesExhaustedException: Failed after attempts=11, exceptions: Thu Dec 03 08:51:33 CST 2020, RpcRetryingCaller{globalStartTime=1606956693172, pause=100, maxAttempts=11}, javax.security.sasl.SaslException: Call to transfer01.bigdata.zxxk.com/10.111.118.166:16020 failed on local exception: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER)] [Caused by javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER)]] Thu Dec 03 08:51:33 CST 2020, RpcRetryingCaller{globalStartTime=1606956693172, pause=100, maxAttempts=11}, java.io.IOException: Call to transfer01.bigdata.zxxk.com/10.111.118.166:16020 failed on local exception: java.io.IOException: Can not send request because relogin is in progress. 
......

分析:

可以看出,这个是Kerberos认证问题,主要信息是:Server not found in Kerberos database

但是这里没有提示这个 Server 是啥。

经过观察/var/log/krb5kdc.log,发现报错如下:

Dec 03 09:12:58 utility1.bigdata.zxxk.com krb5kdc[2740](info): AS_REQ (4 etypes {18 17 16 23}) 10.111.116.226: ISSUE: authtime 1606957978, etypes {rep=18 tkt=18 ses=18}, hive/gateway01.bigdata.zxxk.com@BIGDATA.ZXXK.COM for krbtgt/BIGDATA.ZXXK.COM@BIGDATA.ZXXK.COM
Dec 03 09:12:59 utility1.bigdata.zxxk.com krb5kdc[2739](info): TGS_REQ (4 etypes {18 17 16 23}) 10.111.116.226: LOOKING_UP_SERVER: authtime 0,  hive/gateway01.bigdata.zxxk.com@BIGDATA.ZXXK.COM for hbase/transfer01.bigdata.zxxk.com@BIGDATA.ZXXK.COM, Server not found in Kerberos database
Dec 03 09:12:59 utility1.bigdata.zxxk.com krb5kdc[2739](info): TGS_REQ (4 etypes {18 17 16 23}) 10.111.116.226: LOOKING_UP_SERVER: authtime 0,  hive/gateway01.bigdata.zxxk.com@BIGDATA.ZXXK.COM for hbase/transfer01.bigdata.zxxk.com@BIGDATA.ZXXK.COM, Server not found in Kerberos database
......

分析:

其中hbase/transfer01.bigdata.zxxk.com@BIGDATA.ZXXK.COM,在Kerberos数据库中不存在,而 transfer01.bigdata.zxxk.com 是未启用Kerberos集群的一个主机。

解决思路(未验证)

本思路未验证,请勿在生产环境尝试。

由于Kerberos的机制,非认证主机和服务无法建立连接,所以如果想要解决上述问题,需要将目标主机加入Kerberos认证管理,并创建相应的服务。

邢为栋
关注
专栏目录
【kafka】kerberos Server not found in Kerberos database LOOKING_UP_SERVER Identifier doesn‘t match
九师兄
01-09 3458
【kafka】kerberos认证下 kafka 报错Bootstrap broker host:ip (id: -1 rack: null) disconnected,然后我想在本地消费试试。
Redis集群原理与容器化部署集群
qq_35267557的博客
09-25 1191
Redis集群原理,Redis的分片原理,Redis容器化部署集群
CDH集成了Kerberos后写入数据到HBase遇到的几个问题
zhangs_123的博客
04-01 3589
目录环境和场景问题一:Zookeeper认证错误解决方法问题二:HBase权限错误解决方法 环境和场景 环境:CDH6.3.1+Kerberos 场景:数据经Flink处理后写入到Hbase 问题一:Zookeeper认证错误 报错内容:Flink Task Managers日志 2022-03-14 15:02:25,599 INFO org.apache.zookeeper.ClientCnxn [] - Session establishme
关于Hadoop安全集群安全集群间Distcp的使用
医疗影像检索
03-15 8419
1、需求:有两个集群,网络中节点是互通的,现在要用distcp进行文件迁移,但一个集群安全集群,一个是配置了kerberos认证的安全集群,怎么执行呢?               2、前提:两个集群都做了HA配置,所以要通过如下命令查看活动Namenode并获取其IP地址;     HA配置查看活动Namenode:hdfs haadmin -getServiceState nn1或n
java代码消费华为kafka认证报错 Server not found in Kerberos database (7)-LOOKING_UP_SERVER
最新发布
qq_42023509的博客
06-19 640
如果读取的是华为集群,则需要用华为自己的kafka-client包。华为的包是兼容开源的kafka包的,所以开源放心使用。确认有没有添加put(“kerberos.domain.name”, “hadoop.hadoop.com”)2.查看是否配置了hosts。需要将线上服务器的域名映射放入Client中的hosts。1.检查配置是否正确的同时,看看有没有少配置。我当时就因为少这个配置,卡了我两天。1.首先确认用户是否有权限。
Hbase kerberos认证问题
多一份贡献,多一份环保
08-13 4887
KrbException: Server not found in Kerberos database (7) - LOOKING_UP_SERVER >>> KdcAccessibility: remove storm1.starsriver.cn at sun.security.krb5.KrbTgsRep.<init>(KrbTgsRep.java:73...
hbase异常修复经验总结
apply_bomb的博客
06-19 3583
重hbase异常修复经验总结,如启集群时,如果报错hbase:meta表不在服务器上。。master节点启动失败,切分wal日志失败。。hbase的RIT问题..arrayIndexOutofBoundSexcExecptiom....regin不在线,,,,, is not online on...表处于中间状态等等...
Java api访问集群Kerberos认证不通过)
lhxsir的博客
04-08 1万+
本地环境访问集群OK 生产环境却报错 查找日志信息,发现Kerberos认证的时候,域名解析出现问题?!! 登录生产环境ping 043节点,能ping通说明域名是能解析成IP地址的(有DNS服务器)蓝瘦香菇,明明报错是域名解析问题为什么能ping通呢? 于是把本地Java访问集群代码改成IP试一试,呵呵报错了 Caused by: org.ietf.jgss.GSSException: No v...
root权限下配置linux hadoop集群自动SSH记录
10-22
在Linux环境中,尤其是在Hadoop集群的管理中,SSH(Secure SHell)是不可或缺的工具,它允许用户在不同节点之间安全地执行命令。在没有root权限的情况下,普通用户也能配置SSH,实现自动化操作,这对于集群维护和...
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-24 2879
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
Hadoop集群管理
08-01
- **安全加固**:加强安全措施,防止未授权访问或攻击。 在进行Hadoop集群升级时,应遵循以下步骤: 1. **备份数据**:升级前对关键数据进行完整备份。 2. **测试环境验证**:在生产环境中安装新版本进行兼容性...
SpringBoot使用Redis 数据访问(单点、集群、哨兵、连接池、Pipline、分布式框架Redisson、解决方案)
纸上得来终觉浅,绝知此事要躬行
04-29 1956
Redis操作是单线程的,使用连接池可以减少连接的创建,redis连接池有两种方式:Jedis(JedisPool) 和 Lettuce(LettucePool)。Lettuce 和 Jedis 的定位都是Redis的client,所以他们当然可以直接连接redis server。在Lettuce和Jedis之外还有Redission ,Redisson:实现了分布式和可扩展的Java数据结构。...
IP-Prefix List
热门推荐
LiBai'S BLOG
01-16 2万+
地址前缀列表IP-Prefix List语法及匹配规则语法匹配规则配置案例拓扑分析ACL实现IP-Prefix List实现IE考试题思考题 在进行配置案例前先了解一下基础知识 IP-Prefix List IP-Prefix List:能够同时匹配网络号和前缀长度 性能及可控性比ACL强(ACL无法匹配掩码/前缀长度) 前缀列表不能用于数据包的过滤 IP-Prefix List能解决ACL解决不了的问题 语法及匹配规则 语法 前缀掩码长度范围:  前缀过滤列表可以进行精确匹配或者在一定掩码长度
12c 中Agent问题的描述及解决办法!
wangpengfei360
11-09 1598
问题描述:在另一个节点安装完agent后OMS莫名其妙的down掉。 view sqlnet.log Directory does not exist for read/write [/app/oracle/Middleware/agent/core/12.1.0.1.0/log] [] check the agents logs and find some java exception f...
Kafka加Kerberos认证后,执行命令行报:Authentication failure
周源的专栏
11-07 1万+
错误信息如下: [kafka@c2bde02 bin]$ ./kafka-topics.sh --list --zookeeper 172.17.76.2:2181 [2017-11-07 14:25:46,940] ERROR An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslExcept...
Hbase常见错误解决方法
wangchaoqi1985的博客
03-09 1170
Hbase常见错误解决方法
Dubbo 调用服务报错 message can not send, because channel is closed .
wangxiaonan
04-03 5642
com.alibaba.dubbo.remoting.RemotingException: message can not send, because channel is closed . 很大程度上是服务器之间访问不通,检查一下消费者和生产者服务器之间是否能通,然后修改防火墙策略,开放访问地址和端口 ...
调用Dubbo服务报错:RemotingException: message can not send, because channel is closed .
青衣醉酒
12-21 1万+
Caused by: com.alibaba.dubbo.remoting.RemotingException: message can not send, because channel is closed . url:dubbo://192.168.1.185:21954/com.tw.ei.business.agent.service.ReqBuinessAgentService?anyho
Windows2008集群安装全攻略
- 集群节点需要能够访问域控制器,以便进行身份验证和配置。 **共享磁盘要求** - 设置共享磁盘是集群的关键部分,通常需要一个单独的PCI存储控制器来实现。 - 关于仲裁磁盘,它是决定集群控制权的磁盘,其配置需要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值