hadoop2.6 UserGroupInformation 获取用户名

最新推荐文章于 2023-02-13 21:08:17 发布
最新推荐文章于 2023-02-13 21:08:17 发布
阅读量6.7k 收藏 3
点赞数 1
分类专栏: Hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlx510tsde/article/details/53941896
版权

Hadoop的客户端是通过FileSystem类操作hdfs的。

FileSystem.get()方法获取FileSystem对象。

 public static FileSystem get(final URI uri, final Configuration conf,

        final String user) throws IOException,InterruptedException {

    String ticketCachePath =

     conf.get(CommonConfigurationKeys.KERBEROS_TICKET_CACHE_PATH);

    UserGroupInformationugi =

       UserGroupInformation.getBestUGI(ticketCachePath, user);

    return ugi.doAs(newPrivilegedExceptionAction<FileSystem>() {

     @Override

      public FileSystem run() throwsIOException {

        return get(uri, conf);

      }

    });

 }

在标红色的这一行中会获取用户名。

 

 public static UserGroupInformation getBestUGI(

      String ticketCachePath, String user)throws IOException {

    if (ticketCachePath != null) {

      returngetUGIFromTicketCache(ticketCachePath, user);

    } else if (user == null) {

      return getCurrentUser();

    } else {

      return createRemoteUser(user);

    }   

 }

 

 

@InterfaceAudience.Public

 @InterfaceStability.Evolving

 public synchronized

 static UserGroupInformation getCurrentUser() throws IOException {

    AccessControlContext context =AccessController.getContext();

    Subject subject =Subject.getSubject(context);

    if (subject == null ||subject.getPrincipals(User.class).isEmpty()) {

      return getLoginUser();

    } else {

      return new UserGroupInformation(subject);

    }

 }

 

 

 @InterfaceAudience.Public

 @InterfaceStability.Evolving

 public synchronized

 static UserGroupInformation getLoginUser() throws IOException {

    if (loginUser == null) {

      loginUserFromSubject(null);

    }

    return loginUser;

 }

 

 

@InterfaceAudience.Public

 @InterfaceStability.Evolving

 public synchronized

 static void loginUserFromSubject(Subject subject) throws IOException {

    ensureInitialized();

    try {

      if (subject == null) {

        subject = new Subject();

      }

      LoginContextlogin =

         newLoginContext(authenticationMethod.getLoginAppName(),

                          subject, newHadoopConfiguration());//关键代码1

      login.login();//关键代码2

      UserGroupInformation realUser = newUserGroupInformation(subject);

      realUser.setLogin(login);

      realUser.setAuthenticationMethod(authenticationMethod);

      realUser = newUserGroupInformation(login.getSubject());

      // If the HADOOP_PROXY_USER environmentvariable or property

      // is specified, create a proxy user asthe logged in user.

      String proxyUser = System.getenv(HADOOP_PROXY_USER);

      if (proxyUser == null) {

        proxyUser =System.getProperty(HADOOP_PROXY_USER);

      }

      loginUser = proxyUser == null ? realUser: createProxyUser(proxyUser, realUser);

 

      String fileLocation =System.getenv(HADOOP_TOKEN_FILE_LOCATION);

      if (fileLocation != null) {

        // Load the token storage file and putall of the tokens into the

        // user. Don't use the FileSystem APIfor reading since it has a lock

        // cycle (HADOOP-9212).

        Credentials cred =Credentials.readTokenStorageFile(

            new File(fileLocation), conf);

        loginUser.addCredentials(cred);

      }

     loginUser.spawnAutoRenewalThreadForUserCreds();

    } catch (LoginException le) {

      LOG.debug("failure to login",le);

      throw new IOException("failure tologin", le);

    }

    if (LOG.isDebugEnabled()) {

      LOG.debug("UGIloginUser:"+loginUser);

    }

 }

关键代码1

private static LoginContext
  newLoginContext(String appName, Subject subject,
    javax.security.auth.login.Configuration loginConf)
      throws LoginException {
   // Temporarily switch the thread's ContextClassLoader to match this
   // class's classloader, so that we can properly load HadoopLoginModule
    // from the JAAS libraries.
    Thread t = Thread.currentThread();
    ClassLoader oldCCL = t.getContextClassLoader();
    t.setContextClassLoader(HadoopLoginModule.class.getClassLoader());
    try {
      return new LoginContext(appName, subject, null, loginConf);
    } finally {
      t.setContextClassLoader(oldCCL);
    }

  }




    public void login() throws LoginException {

 

        loginSucceeded = false;

 

        if (subject == null) {

            subject = new Subject();

        }

 

        try {

            // module invoked in doPrivileged

            invokePriv(LOGIN_METHOD);

            invokePriv(COMMIT_METHOD);//这里执行了HadoopLoginModule类的commit方法

            loginSucceeded = true;

        } catch (LoginException le) {

            try {

               invokePriv(ABORT_METHOD);

            } catch (LoginException le2) {

                throw le;

            }

            throw le;

        }

    }

关键代码2

  @Override

    public boolean commit() throwsLoginException {

      if (LOG.isDebugEnabled()) {

        LOG.debug("hadoop logincommit");

      }

      // if we already have a user, we aredone.

      if(!subject.getPrincipals(User.class).isEmpty()) {

        if (LOG.isDebugEnabled()) {

          LOG.debug("using existingsubject:"+subject.getPrincipals());

        }

        return true;

      }

      Principal user = null;

      // if we are using kerberos, try it out

      if(isAuthenticationMethodEnabled(AuthenticationMethod.KERBEROS)) {

        user = getCanonicalUser(KerberosPrincipal.class);

        if (LOG.isDebugEnabled()) {

          LOG.debug("using kerberosuser:"+user);

        }

      }

      //If we don't have a kerberos user andsecurity is disabled, check

      //if user is specified in the environmentor properties

      if (!isSecurityEnabled() && (user== null)) {

        String envUser =System.getenv(HADOOP_USER_NAME);

        if (envUser == null) {

          envUser =System.getProperty(HADOOP_USER_NAME);//从环境变量HADOOP_USER_NAME中获取用户

        }

        user = envUser == null ? null : newUser(envUser);

      }

      // use the OS user

      if (user == null) {

        user =getCanonicalUser(OS_PRINCIPAL_CLASS);//如果用户还为null,就使用操作系统的用户名

        if (LOG.isDebugEnabled()) {

          LOG.debug("using localuser:"+user);

        }

      }

      // if we found the user, add ourprincipal

      if (user != null) {

        if (LOG.isDebugEnabled()) {

          LOG.debug("Using user:\"" + user + "\" with name " + user.getName());

        }

 

        User userEntry = null;

        try {

          userEntry = new User(user.getName());

        } catch (Exception e) {

          throw (LoginException)(newLoginException(e.toString()).initCause(e));

        }

        if (LOG.isDebugEnabled()) {

          LOG.debug("User entry:\"" + userEntry.toString() + "\"" );

        }

 

        subject.getPrincipals().add(userEntry);

        return true;

      }

      LOG.error("Can't find user in "+ subject);

      throw new LoginException("Can't finduser name");

    }

 

所以,如果想在Java使用Hadoop API操作hdfs时,直接设置

 

System.setProperty("HADOOP_USER_NAME","user");

 

即可


    public void login() throws LoginException {

 

        loginSucceeded = false;

 

        if (subject == null) {

            subject = new Subject();

        }

 

        try {

            // module invoked in doPrivileged

            invokePriv(LOGIN_METHOD);

            invokePriv(COMMIT_METHOD);//这里执行了HadoopLoginModule类的commit方法

            loginSucceeded = true;

        } catch (LoginException le) {

            try {

               invokePriv(ABORT_METHOD);

            } catch (LoginException le2) {

                throw le;

            }

            throw le;

        }

    }

关键代码2

  @Override

    public boolean commit() throwsLoginException {

      if (LOG.isDebugEnabled()) {

        LOG.debug("hadoop logincommit");

      }

      // if we already have a user, we aredone.

      if(!subject.getPrincipals(User.class).isEmpty()) {

        if (LOG.isDebugEnabled()) {

          LOG.debug("using existingsubject:"+subject.getPrincipals());

        }

        return true;

      }

      Principal user = null;

      // if we are using kerberos, try it out

      if(isAuthenticationMethodEnabled(AuthenticationMethod.KERBEROS)) {

        user = getCanonicalUser(KerberosPrincipal.class);

        if (LOG.isDebugEnabled()) {

          LOG.debug("using kerberosuser:"+user);

        }

      }

      //If we don't have a kerberos user andsecurity is disabled, check

      //if user is specified in the environmentor properties

      if (!isSecurityEnabled() && (user== null)) {

        String envUser =System.getenv(HADOOP_USER_NAME);

        if (envUser == null) {

          envUser =System.getProperty(HADOOP_USER_NAME);//从环境变量HADOOP_USER_NAME中获取用户

        }

        user = envUser == null ? null : newUser(envUser);

      }

      // use the OS user

      if (user == null) {

        user =getCanonicalUser(OS_PRINCIPAL_CLASS);//如果用户还为null,就使用操作系统的用户名

        if (LOG.isDebugEnabled()) {

          LOG.debug("using localuser:"+user);

        }

      }

      // if we found the user, add ourprincipal

      if (user != null) {

        if (LOG.isDebugEnabled()) {

          LOG.debug("Using user:\"" + user + "\" with name " + user.getName());

        }

 

        User userEntry = null;

        try {

          userEntry = new User(user.getName());

        } catch (Exception e) {

          throw (LoginException)(newLoginException(e.toString()).initCause(e));

        }

        if (LOG.isDebugEnabled()) {

          LOG.debug("User entry:\"" + userEntry.toString() + "\"" );

        }

 

        subject.getPrincipals().add(userEntry);

        return true;

      }

      LOG.error("Can't find user in "+ subject);

      throw new LoginException("Can't finduser name");

    }


后来有了新的api,在创建FileSystem的时候,直接传入用户参数

public static FileSystem newInstance(final URI uri, final Configuration conf,
      final String user) throws IOException, InterruptedException {
    String ticketCachePath =
      conf.get(CommonConfigurationKeys.KERBEROS_TICKET_CACHE_PATH);
    UserGroupInformation ugi =
        UserGroupInformation.getBestUGI(ticketCachePath, user);
    return ugi.doAs(new PrivilegedExceptionAction<FileSystem>() {
      @Override
      public FileSystem run() throws IOException {
        return newInstance(uri,conf); 
      }
    });
  }


技术人Q
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hadoop UserGroupInformation详解
gezooo的专栏
04-03 6686
hadoop UserGroupInformation研究了很多次,每次都是朦朦胧胧,这一次花了一些力气,终于是搞明白了。 下面大概了解下面Java的认证相关框架 JAAS 认证和授权框架,只要负责用户的认证和权限。 SASL client 和 server之间认证的框架 GSS 是sasl的一个provider,也就是实现了sasl框架 参考JAAS/GSS-API/SASL/Kerberos简介 | NoSQL漫谈 网上关于high level介绍的还比较多,可以搜索一些,但是要真正理解Us
UserGroupInformation Source Code Analysis
houzhizhen的专栏
03-17 623
UserGroupInformation is used in the following way.final UserGroupInformation loginUgi = UserGroupInformation.getLoginUser();The getLoginUser method is simple. public synchronized static UserGroupIn
Hadoop认证Kerberos--UserGroupInformation.doAs
热门推荐
虾哔哔的博客
11-01 1万+
在访问带有kerberos认证的hadoop生态圈服务时,必须带上keytab文件认证。 常用的代码: String userCode="user1"; String keytabPath = "./user1.keytab"; System.setProperty("java.security.krb5.kdc", kdc); System.setProperty("java.secur...
hadoop用户和权限
weixin_30502965的博客
07-29 957
hadoop用户和权限 当前Apache Hadoop认证(authentication)支持simple和kerberos,simple是默认的,其实是信任操作系统的认证结果(也就是直接使用操作系统的用户)。kerberos是一套第三方的认证系统,我们没有使用。以下基于hadoop 2.6.0版本。hadoop权限相关的问题,涉及四个方面:H...
spark-2.0.0-bin-hadoop2.6.tgz
11-13
本资源是spark-2.0.0-bin-hadoop2.6.tgz百度网盘资源下载,本资源是spark-2.0.0-bin-hadoop2.6.tgz百度网盘资源下载
hadoop2.6_windows_x64.zip
10-22
hadoop的windows安装版本,经本人测试,使用没什么问题,公司本地开发用的这个版本,可搭载hive1.2.2使用
hadoop2.6 dll
12-21
windows环境下使用python2.7配置spark1.6-hadoop2.6时使用工具
hadoop2.6.rar
06-02
hadoop2.6.0安装包
Hadoop2.6_API.chm
04-24
Hadoop2.6版本稳定版API文档CHM文件
Client 和 NN 创建Connection的详解(二)UserGroupInformation是如何传递的
gezooo的专栏
04-03 332
Client.Connection.setupIOStreams() --->发送连接上下文 writeConnectionContext(remoteId, authMethod); 发送的 IpcConnectionContextProto 里包含了UserGroupInformation /** * Spec for UserInformationProto is specified in ProtoUtil#makeIpcConnectionContext */ m
02 ExecutorBackend blocked at “UserGroupInformation.doAs”
970655147的专栏
04-11 1045
前几天搭建spark集群的时候, 然后跑WordCount的时候碰到了这样的一个问题 集群启动成功之后, 向集群提交任务, 然后 driver程序跑到需要taskScheduler为taskSet分配资源的时候, 找不到可用的executor 然后 导致driver程序这边任务执行不了, 直到超时爆出了异常, 然后只好 shutdown driver程序, 最后查了查execut
hadoop 2.6.0 安全问题--UserGroupInformation
houzhizhen的专栏
01-25 3388
UserGroupInformation可以使用任何你想拥有权限的用户来操作集群。 在UserGroupInformationloginUserFromSubject方法如下,首先系统获到系统用户,然后再判断是否设置环境变量HADOOP_PROXY_USER,或者系统属性HADOOP_PROXY_USER,如果设置那么loginUser就为HADOOP_PROXY_USER,代码如下: @I
【hadoop】关于ERROR security.UserGroupInformation
moxiaomomo的专栏
01-23 1万+
14/01/23 20:49:47 ERROR security.UserGroupInformation: PriviledgedActionException as:hadoop (auth:SIMPLE) cause:java.io.IOException: Failed on local exception: com.google.protobuf.InvalidProtocolBuffe
eclipse hadoop ERROR [main] security.UserGroupInformation
探索地理之源 分享GIS价值
07-26 1940
2015-07-26 23:49:05,594 ERROR [main] security.UserGroupInformation (UserGroupInformation.java:doAs(1494)) - PriviledgedActionException as:cau (auth:SIMPLE) cause:org.apache.hadoop.mapreduce.lib.input.InvalidInputException: Input path does not exist: file:/
Spark 框架安全认证实现
hellozhxy的博客
11-28 2857
导言 随着大数据集群的使用,大数据的安全受到越来越多的关注一个安全的大数据集群的使用,运维必普通的集群更为复杂。 集群的安全通常基于kerberos集群完成安全认证。kerberos基本原理可参考:一张图了解Kerberos访问流程 Spark应用(On Yarn模式下)在安全的hadoop集群下的访问,需要访问各种各样的组件/进程,如ResourceManager,NodeManager,N...
java kerberos认证 过期_0554-同时访问认证和非认证集群的问题(续)
weixin_42404983的博客
12-26 467
作者:李继武1文档编写目的Fayson在前面的文章《0553-6.1.0-如何使用Java代码同时访问安全和非安全CDH集群》,本篇文章介绍在同一Java进程中,通过多线程同时访问Kerberos认证集群和非认证集群时出现的一些异常及解决方法。测试环境:CDH6.1.02集群准备1.非认证集群,在该集群中根目录下创建了一个NONEKRBCDH目录用以标识2.认证集群,在该集群中根目录下创建了一个K...
2021-12-16 hadoop3:目录树
cn987654的博客
12-16 1334
本文基于源码hadoop-3.3.0,个人理解欢迎指正。 目录 1 概述 2 FSDirectory源码 2.1 构造函数 2.2 变量 2.3 关于此类的方法 3 INode 3.1 构造函数 3.2 主要变量 3.3 操作权限 3.4 INodeDirectory 3.5 INodeFile 1 概述 namenode的一个重要作用就是维护集群中的文件目录树。对于hdfs的namespace的状态,Hadoop中提供了FSDirectory和FSNamesystem两个类进行
Hadoop知识
weixin_45951114的博客
02-13 1569
hadoop知识
sudo chown -R hadoop:hadoop1 ./hadoop 那里代表用户名
最新发布
05-08
在命令"sudo chown -R hadoop:hadoop1 ./hadoop"中,hadoop是代表用户名。具体来说,该命令将递归地修改./hadoop目录下所有文件和子目录的所有者为用户hadoop,并且将它们的所属组设置为组hadoop1。这个命令通常用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值