0578-5.15.1-Kerberos环境下Java应用程序认证超时异常分析

Kerberos下Java应用长时间运行问题
最新推荐文章于 2023-06-06 09:11:35 发布
原创 最新推荐文章于 2023-06-06 09:11:35 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1 文档编写目的

在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序长时间运行作业Kerberos不自动重新认证问题

  • 测试环境

1.CM和CDH版本为5.15.1

2.操作系统版本为RedHat7.2

3.集群已启用Kerberos

2 问题描述

在使用JDK 8时,在Kerberos环境下应用程序在执行的过程中报以下错误:

Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]

3 问题分析

在Kerberos环境下长时间运行的作业会出现认证失败问题,认证失败是由于Ticket过期导致。Ticket过期是由ticket_lifetime和renew_lifetime两个参数控制,具体分析如下:

先了解下krb5.conf里ticket_lifetime和renew_lifetime参数:

ticket_lifetime = 24h
renew_lifetime = 7d

注:这里其实还跟kdc.conf里的ticket_lifetime和renew_lifetime相关,本文不做讨论,假设你配置都是一致的。

每一个Kerberos的ticket,包括TGT,都有一个ticket_lifetime(默认:1天);Ticket可以被延续,但最多只能延续到renew_lifetime(默认:7天),超过7天后无法再延续,此时ticket失效,只能重新login。

如果你的应用程序需要运行很长时间或者需要持续不断地一直运行,就会有一个问题,即:

在应用程序启动时进行Kerberos认证登录后,是否还需要定时renew ticket或在ticket期满失效后使用keytab重新login?例如,是否需要在应用程序代码里,在每个UGI.doAS(…)前调用UGI.checkTGTAndReloginFromKeytab或者使用一个Timer周期性地调用UGI.checkTGTAndReloginFromKeytab?

关于这个问题,首先需要了解在Hadoop系统里是如何进行Kerberos认证的:

Hadoop Kerberos认证的主要使用场景是Hadoop RPC框架(使用SASL进行kerberos认证)。大部分Hadoop daemon进程在启动时会调用UGI(org.apache.hadoop.security.UserGroupInformation),UGI.loginUserFromKeytab做kerberos认证并获取ticket,并在后续每一次RPC调用时使用该ticket认证。比如,DataNode必须认证它对NameNode的RPC调用,NodeManager也必须认证它对ResourceManager的RPC调用。那么,这些daemon进程为什么能在启动后长时间持续运行而不会出现kerberos ticket错误呢(甚至已经超过了renew_lifetime)?这是因为Hadoop在RPC Client层实现了一种自动relogin机制。在Client.handleSaslConnectionFailure(org.apache.hadoop.ipc.Client)方法里有如下代码:

      // try re-login
    if (UserGroupInformation.isLoginKeytabBased()) {
              UserGroupInformation.getLoginUser().reloginFromKeytab();
    } else if (UserGroupInformation.isLoginTicketBased()) {
        UserGroupInformation.getLoginUser().reloginFromTicketCache();
    }

上述代码说明在使用RPC连接时,如果因为ticket失效造成认证失败,会自动relogin。

基于以上认识,可以得出以下结论:

1.如果应用程序的使用模式是从keytab登录后执行典型的Hadoop RPC Java调用(如调用HDFS FileSystem API),那么是不需要在应用层增加renew ticket或relogin代码的,因为RPC Client层已经帮你实现了。

2.如果应用程序的使用模式是不使用Hadoop RPC,而是调用HDFS REST API或YARN REST API(使用SPNEGO进行kerberos认证),那么需要在应用程序里增加relogin代码。具体实现方式是:

Java方式:主Java程序使用keytab调用UGI.loginUserFromKeytab登录,然后在每个UGI.doAS前调用UGI.checkTGTAndReloginFromKeytab方法,或者另启动一个线程周期性调用该方法。

Shell方式:主程序使用kinit登录,然后启动另一个子进程周期性的调用kinit -R去renew ticket或者调用kinit -kt去relogin。

需要注意的是当使用JDK 8时,UGI的relogin存在一个bug,即HADOOP-10786。该bug是因为JDK 8的Krb5LoginModule有些小改动,这些改动会造成UGI的relogin代码认为之前的登录并不是基于keytab登录的。所以,UGI.reloginFromKeytab和UGI.checkTGTAndReloginFromKeytab方法实际上什么都没有做,并没有执行relogin。所以,此时应用程序仍然会报以下错误:

Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]

4 解决办法

对于使用JDK 8应用程序不能正常reloginFromKeytab的 bug,workaround是:

  1. 使用JDK 7而不是JDK 8,或者

  2. 确保hadoop-common包含了HADOOP-10786补丁。

建议使用CDH5.13.0或者以上版本的包,这些包已经包括了该补丁。如果仍然在IDE开发环境出现了以上问题,可以检查一下IDE依赖的hadoop-common包的版本是否有问题。

参考文档:

https://issues.apache.org/jira/browse/HADOOP-10786

2021-04-05:使用IDEA进行spark读取HDFS上的文件遇到的两个错误
qq_42468054的博客
04-05 2421
使用IDEA进行spark读取HDFS上的文件遇到的两个错误: (1)Failed on local exception: java.io.IOException: 你的主机中的软件中止了一个已建立的连接 我是连接xshell开启集群再在IDEA读取hdfs上的数据: val data = spark.read.option("header","true").option("delimiter",",").csv("hdfs://master:50070/usr/root/test.csv"
多次kerberos认证服务超时
张不帅
11-03 568
调整 /var/kerberos/krb5kdc/kdc.conf 文件,有则修改,无则添加 [kdcdefaults] kdc_tcp_listen_backlog = 7 调整 /etc/krb5.conf [dbmodules] disable_last_success = true 调整 /etc/sysconfig/krb5kdc KRB5KDC_ARGS=‘-w 48’ #增大kdc的进程数量 生效上述配置 systemctl daemon-reload && syste
TGT超时
weisuochengxuyuan的专栏
10-24 900
index="0"    value="7200000" />
hadoop使用kerberos报错GSSException的处理
vah101的专栏
07-04 2888
hdfs使用kerberos以后,执行hadoop fs -ls命令,报错如下: Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]; Ho
hadoop namenode无法启动,提示Failed on local exception的解决方法
天灵狐的小岛
10-02 8903
提示: java.io.IOException: Failed on local exception: java.net.SocketException: Unresolved address; Host Details : local host is: "master"; destination host is: (unknown):0; 解决方法,修改etc/hadoop目录下的h
mkdir: Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initia
weixin_46951496的博客
11-03 1601
>hdfs dfs -mkdir /path 报错 报错信息: mkdir: Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]; Hos
qt5-doc-5.15.1-3.el8.tar.gz
最新发布
08-25
- qt5-qtcharts-doc-5.15.1-3.el8.noarch.rpm:提供了Qt图表模块的文档,它是一个用于创建图表和数据可视化的模块,适用于数据密集型应用程序- qt5-qt3d-doc-5.15.1-3.el8.noarch.rpm:Qt 3D模块文档,这是一个...
ant-design-mobile-5.15.1.zip
08-27
用于构建移动Web应用程序的基本UI组件,探索移动端 Web 的极致体验
qt-everywhere-src-5.15.1.tar.xz 下载
04-01
qt-everywhere-src-5.15.1.tar.xz 下载
ant-design-5.15.1.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
qt5-qtquickcontrols-doc-5.15.1-3.el8.tar.gz
08-21
本文将从多个方面介绍关于“qt5-qtquickcontrols-doc-5.15.1-3.el8.tar.gz”压缩包的内容,包括其适用的操作系统、安装步骤、相关文件及其作用等。这将帮助用户更好地理解和使用该压缩包,以完成对qt5-...
java.io.IOException: Failed on local exception: com.google.protobuf.InvalidProtocolBufferException:
weixin_40433318的博客
04-19 5339
出现这个原因,主要是因为端口号写错了: java.io.IOException: Failed on local exception: com.google.protobuf.InvalidProtocolBufferException: Protocol message end-group tag did not match expected tag.; Host Details : local...
为CDH 5集群添加Kerberos支持
Make progress step by step everyday.....
05-26 7597
GitHub      Kerberos 参考链接:  + Configuring Authentication in Clouera Manager  + Understanding Kerberos  + Instlling Kerberos  + Troubleshooting Authentication Issues  + Configuring YARN for L
hadoop启动,报Unresolved address错误的解决方法
上善亦若水的博客
08-25 8845
hadoop使用start-dfs.cm启动时,报如下错误:java.io.IOException: Failed on local exception: java.net.SocketException: Unresolved address; Host Details : local host is: "master"; destination host is: (unknown):0;  ...
java执行kerberos认证出现的问题以及解决方式
qqnbsp的博客
11-14 3796
Runtime.getRuntime().exec();执行cmd命令,且命令涉及到 kinit -kt /etc/xxxxx.keytab xxxx@HADOOP.COM命令 于是偶然出现下面的问题,这种错误的几率很小,大概几百分之一的概率。 百度了一下,说是kinit -kt 并行引起的,所以解决方案就是解决这种并行问题,但是程序必须保证并行,所以代码里写了尝重新执行的方法,将失败率减少到万分之一。 kinit: Failed to store credentials: Internal cr.
org.apache.hadoop.ipc.Remotexception(avax.security.sasl.SaslException): GSS intiate failed
weixin_59295776的博客
06-06 466
原因:因hbase服务器不稳定,此段时间无法连接,导致任务失败。处理方案:重新调起任务。
【Hadoop】java.io.IOException: Failed on local exception: java.nio.channels.ClosedByInterruptException
wyz0516071128的博客
04-08 6450
查看日志中的报错信息如下: java.io.IOException: Failed on local exception: java.nio.channels.ClosedByInterruptException; Host Details : local host is: "1.datanode3/72.118.0.15"; destination host is: "1.server1":...
unable to login from keytab: Decrypt integrity check failed - 记一次手残经历
xufwind的博客
10-29 1022
前两天在CDH上用命令行访问impala,因集群添加了kerberos认证,访问需要先认证。在目录里找了一圈没有找到能成功认证的keytab,然后就自己去网上搜索如何生成keytab,结果keytab没有生成成功,那个节点上impala的principal密码还被改了。正好这个节点上运行了impala的catalog server,于是整个impala集群就启动不了。目前集群又没有运维的支持,只能自己去搞 前期查到是认证问题后,就各种百度,bing搜索,看一圈下来,基本没有能当下处理情况的信息。后来去.
qt-opensource-linux-x64-5.15.1.run下载
04-03
<think>好的,我需要帮助用户找到Qt开源版本安装程序qt-opensource-linux-x64-5.15.1.run的下载链接。首先,用户提供的引用信息中有几个相关的引用链接,比如引用[2]和引用[3]提到了Qt 5.15.11的源码下载,引用[4]涉及5.15.5版本的编译。但用户需要的是5.15.1版本的.run安装程序。 根据Qt官方发布的结构,通常安装程序的路径遵循特定的格式。例如,引用[2]中的链接是https://download.qt.io/archive/qt/5.15/5.15.11/single/,而用户需要的是5.15.1版本,所以需要将版本号替换。查看引用[3]的链接,它指向5.15.11的zip文件,但用户需要的是.run文件,可能属于不同的目录结构。 另外,引用[1]中提到了qt-opensource-linux-x64-5.9.2.run的安装,路径是archive/qt/5.9/5.9.2/。因此,推测5.15.1的安装程序可能在类似的路径下,即https://download.qt.io/archive/qt/5.15/5.15.1/qt-opensource-linux-x64-5.15.1.run。 需要验证这个链接是否存在。根据Qt的官方存档,每个版本通常有对应的子目录,包含安装程序和源码。由于用户提供的引用中5.15.11的源码在single目录下,但安装程序可能位于上一级目录,比如5.15.1/下直接有.run文件。 另外,检查用户提供的引用[3]中的链接结构,虽然版本不同,但路径模式一致。因此,正确链接应该是https://download.qt.io/archive/qt/5.15/5.15.1/qt-opensource-linux-x64-5.15.1.run。不过需要确认该版本是否确实存在,因为有时候某些小版本可能没有对应的安装程序,或者官方可能调整了存储结构。 如果用户无法访问该链接,可能需要检查版本号的正确性,或者考虑使用其他方法,如通过命令行工具下载。同时,提醒用户验证文件的md5校验码以确保完整性,如引用[2]中提到的做法。</think>根据Qt官方资源路径规律,Qt 5.15.1 Linux 64位安装程序的下载链接为: $$https://download.qt.io/archive/qt/5.15/5.15.1/qt-opensource-linux-x64-5.15.1.run$$ 可通过以下命令下载并赋予执行权限: ```bash wget https://download.qt.io/archive/qt/5.15/5.15.1/qt-opensource-linux-x64-5.15.1.run chmod +x qt-opensource-linux-x64-5.15.1.run # 参考赋权指令[^1] ``` 建议下载完成后执行md5校验: ```bash md5sum qt-opensource-linux-x64-5.15.1.run ``` 将输出结果与[Qt官方发布的校验码](https://download.qt.io/archive/qt/5.15/5.15.1/md5sums.txt)比对[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值