我有一个hadoop（cdh412）集群设置，它已启用kerberos进行身份验证和授权。我把一切都准备好了（hdfs、mapred、zookeeper、hbase、hive等等）。然而，我在java应用程序中访问hdfs数据时遇到了问题。
我的java应用程序是在后台运行的服务。因此，没有密码可以输入，我必须使用一个keytab文件。应该不是问题。如果我先做个“kinit”就行了，阿拉。。。

kinit -kt /home/fred/kerberostest/krb5.keytab myprinc/myserver.com@MY.REALM

但是，如果我尝试在java代码中执行此操作（我已经读到logincontext.logon将执行与kinit相同的操作），它将失败。
为了测试这一点，我编写了以下代码段。。。。

System.setProperty("java.security.krb5.realm", "MY.REALM");
System.setProperty("java.security.kdc", "kdc.server.com");
System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
System.setProperty("java.security.auth.login.config", "/home/fred/kerberostest/jaas.conf");

LoginContext context = new LoginContext("Client");
context.login();

Configuration conf = new Configuration();
FileSystem fs = FileSystem.get(conf);

InputStream in = fs.open(new Path("/mytestfile"));
int b = in.read();
in.close();

我的jaas.conf文件如下。。。。。

Client {
   com.sun.security.auth.module.Krb5LoginModule required
   debug=true
   useKeyTab=true
   keyTab="/home/fred/kerberostest/krb5.keytab"
   principal="myprinc/myserver.com@MY.REALM"
   useTicketCache=false;
}

当我运行上面的java代码时，logincontext.login似乎工作正常。。。。我得到一个调试语句

Login successful for user myprinc/myserver.com@MY.REALM using keytab file /home/fred/kerberostest/krb5.keytab

但是，当代码尝试打开hdfs文件（fs.open）时，应用程序会失败，并出现priviledgedactionexception，说明：

ERROR security.UserGroupInformation: PriviledgedActionException as :fred (auth:KERBEROS) cause:javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]

因此，它试图使用“fred”（我的linux登录）来访问这些文件，而不是使用keytab文件中的主要信息。再说一次，如果我先做一个kinit，它工作得很好。。。。但是logincontext不是应该做同样的事情吗？
注意：这是kerberos的activedirectory“版本”。不是利用信任。。。直接到activedirectory。