0627-如何跳过HiveServer2 WebUI的Kerberos验证

禁用HiveServer2 WebUI Kerberos验证
最新推荐文章于 2025-07-16 15:14:02 发布
原创 最新推荐文章于 2025-07-16 15:14:02 发布 · 802 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Fayson的github: https://github.com/fayson/cdhproject

推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f

1 文档编写目的

在CDH集群启用Kerberos后,通过浏览器访问HiveServer2的Web UI时提示需要输入用户名和密码(即Kerberos账号进行认证)。在前面Fayson介绍了《Windows Kerberos客户端配置并访问CDH》通过该方式可以访问启用Kerberos的Web UI。本篇文章主要介绍在未进行Windown Kerberos客户端配置的情况下如何跳过HiveServer2 Web UI的Kerberos验证。

2 问题描述

在集群启用Kerberos的情况下,在CM界面上想要查看HiveServer2的WenUI,但是却出现了Kerberos验证,本地没有安装Kerberos的客户端。

在这里插入图片描述

在这里插入图片描述

3 问题解决

1.进入CM界面的Hive服务,到配置中修改配置如下:

<property>
    <name>hive.server2.webui.use.spnego</name>
    <value>false</value>
</property>

在这里插入图片描述

2.配置修改完成后保存并重启服务

在这里插入图片描述

3.再次访问HiveServer2的Web UI成功

在这里插入图片描述

4 总结

1.通过浏览器访问Kerberos环境Web UI可以在客户端机器上安装Kerberos客户端,并在浏览器增加受信任的hostsname列表。

2.也可以通过禁用HiveServer2服务的Web认证方式来实现。

Hive 一起了解一下 HiveServer2
SmartSi
07-18 5855
1. HiveServer1HiveServer是一种可选服务,允许远程客户端可以使用各种编程语言向Hive提交请求并检索结果。HiveServer是建立在Apache ThriftTM(http://thrift.apache.org/)之上的,因此有时会被称为Thrift Server,这可能会导致混乱,因为新服务HiveServer2也是建立在Thrift之上的.自从引入HiveServe
Hive 如何启动 HiveServer2
SmartSi
07-18 9166
HiveServer2(HS2)是一个服务器接口,能使远程客户端执行Hive查询,并且可以检索结果。HiveServer2HiveServer1的改进版,HiveServer1已经被废弃。HiveServer2可以支持多客户端并发和身份认证。旨在为开放API客户端(如JDBC和ODBC)提供更好的支持。这篇文章将介绍如何配置服务器端。如何使用客户端与此服务器端交互将在下篇文章中介绍。备注Hive
2020.11.21(整合hive的metastore搭建2)
超可爱慕之
11-22 1074
上节课刻意的在什么外界都不用的情况下,spark自己就可以玩,外界不需要准备其它的,搭建环境,jvm都不需要,只要enableHiveSupport(),就可以包含的启动一个metastore,支持我们的DDL语句,等等操作,但是这节课主要讲贴近企业级的使用,在生产环境中是不会这么去玩的,强调一点:很多人学习架构的事情会很在意项目这件事情,但是如果学大数据,不要刻意的把项目放在心上,项目是被弱化的,大数据公司不可能启动了一个项目,为你准备了500台机器,然后把数据拷给你一份,几百T的数据,过两天又要启动一个
hive 配置用户名_Hive的安装及配置
weixin_39640883的博客
12-19 1143
title: Hive的安装及配置summary: 关键词:Hive ubuntu 安装和配置 Derby MySQL PostgreSQL 数据库连接date: 2019-5-19 13:25urlname: 2019051903author: foochaneimg: /medias/featureimages/19.jpgcategories: 大数据tags:hive大数据1 安装说明在安...
Hive之set参数大全-17
m0_49620121的博客
01-27 1736
请注意,这样的设置只对当前 HiveServer2 会话有效,当 HiveServer2 重新启动时,设置将被重置为默认值。请注意,这样的设置只对当前 HiveServer2 会话有效,当 HiveServer2 重新启动时,设置将被重置为默认值。请注意,这样的设置只对当前 HiveServer2 会话有效,当 HiveServer2 重新启动时,设置将被重置为默认值。请注意,这样的设置只对当前 HiveServer2 会话有效,当 HiveServer2 重新启动时,设置将被重置为默认值。
CDH 之 HDFS WebUI浏览器认证 (开启了kerberos认证之后)
weixin_45067310的博客
11-04 1649
设置CDH支持kerberos后会出现下图所示的情况 1、打开火狐浏览器,在地址栏输入:about:config,进入设置页面(其它浏览器不得行) 2、搜索“network.negotiate-auth.trusted-uris”,修改值为自己的服务器主机名。 3、搜索“network.auth.use-sspi”,双击将值变为false。 4、安装kfw (没有的可私我 kfw-4.1-amd64.msi) 5、将集群的/etc/krb5.conf文件的内容复制到C:\ProgramData\MIT
hive的三种Authentication认证机制配置和使用
数字化时代下,新IT人的转型之路
03-08 7575
技术层面3A+1E:Authentication 认证,Authorization 鉴权,和Audit 审计;Encrption 加密 hive身份认证的三种方式 NONE:即不做身份校验; LDAP: 使用基于 LDAP/AD 的用户身份校验; KERBEROS: 使用 Kerberos/GSSAPI 做身份校验; hive.server2.authentication = none 不做任何校验,登陆时可以不配置用户名密码,在服务端hive会显示匿名...
大数据问题排查系列-开启 kerberos 后无法访问 HIVESERVER2 等服务的 WEBUI
明哥的IT随笔
09-03 1232
大数据问题排查系列-开启 kerberos 后无法访问 HIVESERVER2 等服务的 WEBUI 1 前言 大家好,我是明哥! 在博文“从技术视角看大数据行业的发展趋势”中,我们提到大数据的一个发展趋势是日益重视数据安全。在数据安全上,有四个方面的问题需要解决,即 3A + 1E: 3A 是指 authentication, authorization 和 audit 即认证,授权和审计,分别解决了用户身份校验,用户权限校验,事后审计监督的问题; 1E 指的是 encryption 即加密,包括对静态
HiveServer2 简单用户/密码身份验证
weixin_38751513的博客
09-28 2869
HiveServer2 简单用户/密码身份验证
Kerberos 认证配置&大数据组件配置kerberos
最新发布
longxibo的博客
07-16 1157
本文介绍了Kerberos认证的配置过程及大数据组件集成Kerberos的方法。主要内容包括:1)创建hdfs和HTTP的principals并生成hdfs.keytab文件;2)创建zookeeper.keytab文件用于ZK认证;3)ZK配置Kerberos的具体步骤,包括修改zoo.cfg、jaas.conf和java.env配置文件;4)配置同步和重启服务的操作流程;5)常见错误处理方法。文章提供了详细的命令示例和配置片段,特别强调了ZK认证中必须使用zookeeper主机名的注意事项。适用于已安装
sqlite导出数据 导入 mysql/PbootCMS mysql/mysql 8.0
Soonjn的博客
09-28 1693
环境 1.Server version: 8.0.21 MySQL Community Server - GPL 2.PBooyCMS 3 3.sqlite数据转移到mysql 问题描述 由于mysql升级到8.0版本;字符集设置,以及数据库的连接认证都会与之前版本不一致,造成诸多报错。所做的工作,便是将多项设置,人为的改回与先前版本兼容的设置内容。 报错 1.Server sent charset unknown to the client 1.The server requested authentic
Hive2.0版本开始,关于hiveserver2的web UI管理页面的配置和使用
热门推荐
helloxiaozhe的博客
10-12 1万+
关于hiveserver2的web UI管理页面的配置和使用; 使用编程语言报错,怎么查找原因呢?除了编程语言本身的报错之外,其实hive的log日志里面的信息更加方便,有利于寻找错误的真正的原因,有个界面形式的hive程序运行日志web页面将是十分高效的! 没错的,Hive2.0版本开始,为HiveServer2提供了一个简单的WEB UI界面,界面中可以直观的看到当前链接的会话、历史日志、配置参数以及度量信息。
Kerberos从入门到精通以及案例实操系列(二)
prefect_start的博客
06-05 1324
所以在安全的Hadoop环境下,Kylin不需要做额外的配置,只需要具备一个Kerberos主体,进行常规的认证即可。若Presto对接的是Hive数据源,由于其需要访问Hive的元数据和HDFS上的数据文件,故也需要对Hive Connector进行Kerberos认证。启用Kerberos认证之后,关闭HBase时,需先进行Kerberos用户认证,认证的主体为hbase。但是Kylin所依赖的HBase需要进行额外的配置,才能在安全的Hadoop环境下正常工作。以下说明均基于普通用户。
CDH6.3.2集成Kerberos
热情、奔放、快乐编程!
09-03 1134
参考:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cdh_sg_browser_access_kerberos_protected_url.html#topic_6_2__section_vj5_gwv_ls。禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启了Kerberos的组件的配置。1.连接你的集群krb5kdc和kadmin服务所在的机器,复制/etc/krb5.conf中的配置。
10.4 hadoop安全性kerberos安全验证和委托令牌
baochunlei1的博客
03-01 1171
1.1 安全性 HDFS的文件许可模块可以组织程序漏洞而毁坏文件系统,也能阻止运行hadoop fs –rmr删除文件指令,但是无法组织恶意的用户假冒root身份来访问或者删除数据。需要使用Kerberos实现用户认证。 1.1.1 Kerberos和Hadoop (1)客户端请求认证的步骤 1) 认证。客户端向认证服务器获取含时间票据授权票据(T...
hive配置webui步骤超简单
yj2434的博客
08-18 1673
1.hive-site.xml配置如下: hive.server2.webui.host 0.0.0.0 The host address the HiveServer2 WebUI will listen on hive.server2.webui.port 10002 The port the HiveServer2 WebUI will listen on. This can beset to 0 or a negative integer
[一起学Hive]之二十-自定义HiveServer2的用户安全认证
tony的专栏
05-06 5242
HiveServer2提供了JDBC链接操作Hive的功能,非常实用,但如果在使用HiveServer2时候,不注意安全控制,将非常危险,因为任何人都可以作为超级用户来操作Hive及HDFS数据。 比如:在配置HiveServer2的时候,hive.server2.authentication=NONE,表示没有用户认证。 使用beeline,模拟成超级用户hadoop,成功连接到
Sentry Service for Hive Without kerberos(CDH 5.10)
weixin_33910460的博客
03-14 172
为什么80%的码农都做不了架构师?>>> ...
大数据Hive系列之HiveServer2用户安全认证
飞翔的博客
10-26 1万+
1. 概述1.1 目的HiveServer2提供了JDBC链接操作Hive的功能,非常实用,但如果在使用HiveServer2时候,不注意安全控制,将非常危险,因为任何人都可以作为超级用户来操作Hive及HDFS数据。1.2 认证方式HiveServer2支持多种用户安全认证方式:NONE,NOSASL, KERBEROS, LDAP, PAM ,CUSTOM等等,本文采用CUSTOM。2. 编写代
server not fount in kerberos database -looking_up_server
07-15
你看到的完整错误信息可能是: ``` Kerberos: Server not found in Kerberos database while looking_up_server ``` 这表示客户端在尝试与 Kerberos 服务器(KDC)通信时,**找不到请求的服务主体(Service Principal)**。 --- ## 🧾 错误解释 ### 原始错误: ``` Server not found in Kerberos database while looking_up_server ``` 这是 Kerberos 客户端库(如 `libkrb5`)抛出的一个内部错误,通常发生在以下情况: - 客户端试图通过 Kerberos 访问某个服务(如 HDFS、HiveServer2、HTTP 等)。 - 它会向 KDC 请求 TGS(Ticket Granting Service)票据。 - KDC 在其数据库中 **找不到请求的服务主体(principal)**。 - 因此返回该错误,并拒绝颁发票据。 --- ## 🔍 常见触发场景 | 场景 | 示例 | |------|------| | Hive JDBC 连接 | 使用 Beeline 或 Java JDBC 访问 HiveServer2 | | Spark 提交任务 | 使用 `--keytab` 和 `--principal` 提交任务 | | HDFS 操作 | 使用 `hadoop fs -ls /` | | WebHDFS/Hue 访问 | 浏览器访问 HDFS UI 或 Hue | | Kafka SASL/Kerberos | Kafka 生产/消费数据时 | --- ## ✅ 解决方法详解 ### ✅ 1. 确认服务主体是否存在 使用 `kadmin` 登录到 KDC 并列出所有 principal: ```bash kadmin -p admin/admin list ``` 检查输出是否包含你要访问的服务对应的 principal,例如: ``` hdfs/mycluster@EXAMPLE.COM hive/hiveserver2.example.com@EXAMPLE.COM HTTP/webui.example.com@EXAMPLE.COM ``` 如果没有,请创建它。 --- ### ✅ 2. 创建服务主体(Principal) 在 KDC 上执行: ```bash kadmin -p admin/admin add_principal -randkey hive/hiveserver2.example.com@EXAMPLE.COM ``` > `-randkey` 表示为这个 principal 设置一个随机密钥,不会提示输入密码。 --- ### ✅ 3. 生成 keytab 文件 将 principal 导出为 keytab 文件,供服务端或客户端使用: ```bash ktadd -k hive.service.keytab hive/hiveserver2.example.com@EXAMPLE.COM ``` 你可以将 `hive.service.keytab` 分发给需要认证的服务节点。 --- ### ✅ 4. 验证 keytab 是否可用 使用 `kinit` 测试 keytab 是否能正常获取 ticket: ```bash kinit -kt hive.service.keytab hive/hiveserver2.example.com@EXAMPLE.COM ``` 成功后使用: ```bash klist ``` 查看当前缓存的 ticket。 --- ### ✅ 5. 检查客户端配置中的 principal 名称 确保你在客户端代码或连接字符串中使用的 principal 是正确的。 #### Hive JDBC 示例: ```java String jdbcUrl = "jdbc:hive2://hiveserver2.example.com:10000/default;principal=hive/hiveserver2.example.com@EXAMPLE.COM"; Connection conn = DriverManager.getConnection(jdbcUrl); ``` #### Spark 提交命令: ```bash spark-submit \ --principal hive/hiveserver2.example.com@EXAMPLE.COM \ --keytab hive.service.keytab \ ... ``` --- ### ✅ 6. 检查 DNS 或 `/etc/hosts` 配置 Kerberos 会基于主机名来验证 principal。如果客户端无法解析服务端的主机名,也会导致这个错误。 ```bash ping hiveserver2.example.com nslookup hiveserver2.example.com ``` 必要时可在 `/etc/hosts` 中添加: ``` 192.168.1.10 hiveserver2.example.com ``` --- ## ✅ 示例:HiveServer2 启动配置 在 `hive-site.xml` 中设置 Kerberos 相关参数: ```xml <property> <name>hive.server2.authentication</name> <value>KERBEROS</value> </property> <property> <name>hive.server2.kerberos.principal</name> <value>hive/hiveserver2.example.com@EXAMPLE.COM</value> </property> <property> <name>hive.server2.kerberos.keytab</name> <value>/path/to/hive.service.keytab</value> </property> ``` --- ## ✅ 总结流程图 ``` Client 请求访问 Kerberos 服务 ↓ KDC 查找对应 principal ↓ 存在? → 发放 Ticket ↓ 不存在?→ 报错:"Server not found in Kerberos database" ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值