java—如何让hadoop客户端在安全(kerberos)集群中为用户提供正确的凭据

l2osamch  于 2021-06-04  发布在  Hadoop
关注(0)|答案(1)|浏览(464)

我有一个hadoop(cdh412)集群设置,它已启用kerberos进行身份验证和授权。我把一切都准备好了(hdfs、mapred、zookeeper、hbase、hive等等)。然而,我在java应用程序中访问hdfs数据时遇到了问题。
我的java应用程序是在后台运行的服务。因此,没有密码可以输入,我必须使用一个keytab文件。应该不是问题。如果我先做个“kinit”就行了,阿拉。。。

kinit -kt /home/fred/kerberostest/krb5.keytab myprinc/myserver.com@MY.REALM

但是,如果我尝试在java代码中执行此操作(我已经读到logincontext.logon将执行与kinit相同的操作),它将失败。
为了测试这一点,我编写了以下代码段。。。。

System.setProperty("java.security.krb5.realm", "MY.REALM");
System.setProperty("java.security.kdc", "kdc.server.com");
System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
System.setProperty("java.security.auth.login.config", "/home/fred/kerberostest/jaas.conf");

LoginContext context = new LoginContext("Client");
context.login();

Configuration conf = new Configuration();
FileSystem fs = FileSystem.get(conf);

InputStream in = fs.open(new Path("/mytestfile"));
int b = in.read();
in.close();

我的jaas.conf文件如下。。。。。

Client {
   com.sun.security.auth.module.Krb5LoginModule required
   debug=true
   useKeyTab=true
   keyTab="/home/fred/kerberostest/krb5.keytab"
   principal="myprinc/myserver.com@MY.REALM"
   useTicketCache=false;
}

当我运行上面的java代码时,logincontext.login似乎工作正常。。。。我得到一个调试语句

Login successful for user myprinc/myserver.com@MY.REALM using keytab file /home/fred/kerberostest/krb5.keytab

但是,当代码尝试打开hdfs文件(fs.open)时,应用程序会失败,并出现priviledgedactionexception,说明:

ERROR security.UserGroupInformation: PriviledgedActionException as :fred (auth:KERBEROS) cause:javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]

因此,它试图使用“fred”(我的linux登录)来访问这些文件,而不是使用keytab文件中的主要信息。再说一次,如果我先做一个kinit,它工作得很好。。。。但是logincontext不是应该做同样的事情吗?
注意:这是kerberos的activedirectory“版本”。不是利用信任。。。直接到activedirectory。

fruv7luv

fruv7luv1#

我将把这归咎于我们的activedirectory实现。我是用麻省理工学院的kerberos做的,效果很好。关闭。

相关问题