Kerberos认证的kafka常见错误记录

最新推荐文章于 2025-02-07 11:23:12 发布
最新推荐文章于 2025-02-07 11:23:12 发布
阅读量1.4w 收藏 17
点赞数 2
分类专栏: Kafka Kerberos 文章标签: Kerberos Kafka 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Vector97/article/details/102552749
版权

前言

发现网上与kerberos有关报错信息少之又少,踩过的坑放在这里,希望可以帮到后来人。

报错信息总结

1. principal和keytab不匹配,这种问题,只需要在jaas文件中指定正确的账号密码即可

Caused by: javax.security.auth.login.LoginException: Could not login: the client is being asked for a password, but the Kafka client code does not currently support obtaining a password from the user. not available to garner  authentication information from the user
        at com.sun.security.auth.module.Krb5LoginModule.promptForPass(Krb5LoginModule.java:940)
        at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:760)
        at com.sun.security.auth.module.Krb5LoginModule.login(Krb5LoginModule.java:617)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at javax.security.auth.login.LoginContext.invoke(LoginContext.java:755)
        at javax.security.auth.login.LoginContext.access$000(LoginContext.java:195)
        at javax.security.auth.login.LoginContext$4.run(LoginContext.java:682)
        at javax.security.auth.login.LoginContext$4.run(LoginContext.java:680)
        at java.security.AccessController.doPrivileged(Native Method)
        at javax.security.auth.login.LoginContext.invokePriv(LoginContext.java:680)
        at javax.security.auth.login.LoginContext.login(LoginContext.java:587)
        at org.apache.kafka.common.security.authenticator.AbstractLogin.login(AbstractLogin.java:60)
        at org.apache.kafka.common.security.kerberos.KerberosLogin.login(KerberosLogin.java:103)
        at org.apache.kafka.common.security.authenticator.LoginManager.<init>(LoginManager.java:61)
        at org.apache.kafka.common.security.authenticator.LoginManager.acquireLoginManager(LoginManager.java:111)
        at org.apache.kafka.common.network.SaslChannelBuilder.configure(SaslChannelBuilder.java:149)
        ... 7 more

2. 客户端和服务器系统时间不匹配的问题

Caused by: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Clock skew too great (37) - PROCESS_TGS)]
        at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:211)
        at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.lambda$createSaslToken$1(SaslClientAuthenticator.java:466)
        at java.security.AccessController.doPrivileged(Native Method)
        at javax.security.auth.Subject.doAs(Subject.java:422)
        at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.createSaslToken(SaslClientAuthenticator.java:466)
        at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.sendSaslClientToken(SaslClientAuthenticator.java:373)
        at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.sendInitialToken(SaslClientAuthenticator.java:292)
        at org.apache.kafka.common.security.authenticator.SaslClientAuthenticator.authenticate(SaslClientAuthenticator.java:232)
        at org.apache.kafka.common.network.KafkaChannel.prepare(KafkaChannel.java:173)
        at org.apache.kafka.common.network.Selector.pollSelectionKeys(Selector.java:547)
        at org.apache.kafka.common.network.Selector.poll(Selector.java:483)
        at org.apache.kafka.clients.NetworkClient.poll(NetworkClient.java:539)
        at org.apache.kafka.clients.consumer.internals.ConsumerNetworkClient.poll(ConsumerNetworkClient.java:262)
        at org.apache.kafka.clients.consumer.internals.ConsumerNetworkClient.poll(ConsumerNetworkClient.java:233)
        at org.apache.kafka.clients.consumer.internals.ConsumerNetworkClient.poll(ConsumerNetworkClient.java:212)
        at org.apache.kafka.clients.consumer.internals.AbstractCoordinator.ensureCoordinatorReady(AbstractCoordinator.java:249)
        at org.apache.kafka.clients.consumer.internals.ConsumerCoordinator.poll(ConsumerCoordinator.java:326)
        at org.apache.kafka.clients.consumer.KafkaConsumer.updateAssignmentMetadataIfNeeded(KafkaConsumer.java:1251)
        at org.apache.kafka.clients.consumer.KafkaConsumer.poll(KafkaConsumer.java:1216)
        at org.apache.kafka.clients.consumer.KafkaConsumer.poll(KafkaConsumer.java:1201)
    at com.zero.KafConsumer.main(KafConsumer.java:47)
    Caused by: GSSException: No valid credentials provided (Mechanism level: Clock skew too great (37) - PROCESS_TGS)
        at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:770)
        at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:248)
        at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
        at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)
        ... 20 more
    Caused by: KrbException: Clock skew too great (37) - PROCESS_TGS
        at sun.security.krb5.KrbTgsRep.<init>(KrbTgsRep.java:73)
        at sun.security.krb5.KrbTgsReq.getReply(KrbTgsReq.java:251)
        at sun.security.krb5.KrbTgsReq.sendAndGetCreds(KrbTgsReq.java:262)
        at sun.security.krb5.internal.CredentialsUtil.serviceCreds(CredentialsUtil.java:308)
        at sun.security.krb5.internal.CredentialsUtil.acquireServiceCreds(CredentialsUtil.java:126)
        at sun.security.krb5.Credentials.acquireServiceCreds(Credentials.java:458)
        at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:693)
        ... 23 more
    Caused by: KrbException: Identifier doesn't match expected value (906)
        at sun.security.krb5.internal.KDCRep.init(KDCRep.java:140)
        at sun.security.krb5.internal.TGSRep.init(TGSRep.java:65)
        at sun.security.krb5.internal.TGSRep.<init>(TGSRep.java:60)
        at sun.security.krb5.KrbTgsRep.<init>(KrbTgsRep.java:55)
        ... 29 more

3. 用户的keytab更新导致出现checksum failed。即principal的密码被更新了,但是程序中使用的还是旧的密码就会出现这个错误
    

Exception in thread "main" org.apache.kafka.common.KafkaException: Failed to construct kafka consumer
        at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:827)
        at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:664)
        at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:644)
        at com.zero.KafConsumer.main(KafConsumer.java:43)
    Caused by: org.apache.kafka.common.KafkaException: javax.security.auth.login.LoginException: Checksum failed
        at org.apache.kafka.common.network.SaslChannelBuilder.configure(SaslChannelBuilder.java:160)
        at org.apache.kafka.common.network.ChannelBuilders.create(ChannelBuilders.java:146)
        at org.apache.kafka.common.network.ChannelBuilders.clientChannelBuilder(ChannelBuilders.java:67)
        at org.apache.kafka.clients.ClientUtils.createChannelBuilder(ClientUtils.java:99)
        at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:741)
        ... 3 more
    Caused by: javax.security.auth.login.LoginException: Checksum failed
        at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:804)
        at com.sun.security.auth.module.Krb5LoginModule.login(Krb5LoginModule.java:617)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at javax.security.auth.login.LoginContext.invoke(LoginContext.java:755)
        at javax.security.auth.login.LoginContext.access$000(LoginContext.java:195)
        at javax.security.auth.login.LoginContext$4.run(LoginContext.java:682)
        at javax.security.auth.login.LoginContext$4.run(LoginContext.java:680)
        at java.security.AccessController.doPrivileged(Native Method)
        at javax.security.auth.login.LoginContext.invokePriv(LoginContext.java:680)
        at javax.security.auth.login.LoginContext.login(LoginContext.java:587)
        at org.apache.kafka.common.security.authenticator.AbstractLogin.login(AbstractLogin.java:60)
        at org.apache.kafka.common.security.kerberos.KerberosLogin.login(KerberosLogin.java:103)
        at org.apache.kafka.common.security.authenticator.LoginManager.<init>(LoginManager.java:61)
        at org.apache.kafka.common.security.authenticator.LoginManager.acquireLoginManager(LoginManager.java:111)
        at org.apache.kafka.common.network.SaslChannelBuilder.configure(SaslChannelBuilder.java:149)
        ... 7 more
    Caused by: KrbException: Checksum failed
        at sun.security.krb5.internal.crypto.Aes128CtsHmacSha1EType.decrypt(Aes128CtsHmacSha1EType.java:102)
        at sun.security.krb5.internal.crypto.Aes128CtsHmacSha1EType.decrypt(Aes128CtsHmacSha1EType.java:94)
        at sun.security.krb5.EncryptedData.decrypt(EncryptedData.java:175)
        at sun.security.krb5.KrbAsRep.decrypt(KrbAsRep.java:149)
        at sun.security.krb5.KrbAsRep.decryptUsingKeyTab(KrbAsRep.java:121)
        at sun.security.krb5.KrbAsReqBuilder.resolve(KrbAsReqBuilder.java:285)
        at sun.security.krb5.KrbAsReqBuilder.action(KrbAsReqBuilder.java:361)
        at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:776)
        ... 24 more
    Caused by: java.security.GeneralSecurityException: Checksum failed
        at sun.security.krb5.internal.crypto.dk.AesDkCrypto.decryptCTS(AesDkCrypto.java:451)
        at sun.security.krb5.internal.crypto.dk.AesDkCrypto.decrypt(AesDkCrypto.java:272)
        at sun.security.krb5.internal.crypto.Aes128.decrypt(Aes128.java:76)
        at sun.security.krb5.internal.crypto.Aes128CtsHmacSha1EType.decrypt(Aes128CtsHmacSha1EType.java:100)
        ... 31 more

 

kafkakerberos client is being asked for a password not available to garner authentication informa
九师兄
01-07 2955
1.概述 首先参考kafka的配置环境:【kafkakerberos认证kafka 报错Bootstrap broker host:ip (id: -1 rack: null) disconnected ,然后我想在本地消费试试。 但是报错 Could not login: the client is being asked for a password, but the Kafka client code does not currently support obtaining a password
五万字图文和代码详解kafka的安装与开启ACL权限控制,自定义SASL、ACL存储形式,实际项目使用案例剖析,kafka常用cmd命令使用总结及示例
代码讲故事
10-20 451
五万字图文和代码详解kafka的安装与开启ACL权限控制,自定义SASL、ACL存储形式,实际项目使用案例剖析,kafka常用cmd命令使用总结及示例。
kafka总结:命令+错误+配置项说明
热门推荐
xiaofang2015的博客
08-15 2万+
概念理解: 消息读取方面 kafka中的消息,如果被读取后,可以被重复读取; 如果是被group A的用户读取了,其他组的用户group B组的用户可以读取; 如果被组里user1读取了,组内其他成员B,在从头开始读取时,可以读取到该数据; Consumer group http://www.cnblogs.com/huxi2b/p/6223228.html 个人认为,理解consu...
kafka 运维中遇到的问题
h952520296的博客
12-08 1万+
1,java.lang.InternalError: a fault occurred in a recent unsafe memory access operation in compiledkafka 进程失败,重启失败 检查日志发现这个,原因是磁盘满了,清除 kafka-logs 即可2,kafka定时清理日志不生效网上很多文档,说是要设置log.retention.hour等等参数。 默认是保留7天,但我实测下来发现日志根本没有任何变化。原因是因为kafka只会回收上个分片的数据配置没有生效的原因
简述一下kafka的安全机制
最新发布
u012534547的博客
02-07 1039
在。
记一次kafkakerberos认证问题
weixin_51473488的博客
04-17 457
principal文件不带kafka,去掉我自己配置的kerberos.kafka.principal重试。但是查看kafka_client_jass.conf文件,发现。排查思路:检查kerberos配置文件。报错信息是没有找到borker的映射。检查本机确实发现连接的映射没有配置。更改后的kerberos配置文件。加上主机映射测试OK了。
Springboot项目集成kafka启动报错
qq_45282568的博客
10-12 709
默认屏蔽了DES等弱密码算法,导致认证不通过;或着使用jdk8u351之前的版本。
解决 KafkaException: Failed to acquire lock on file .lock
Sword52888的博客
08-01 3603
KafkaException
java使用keytab认证sso_Java客户端和Kerberos / SSO - Krb5LoginModule - 不重用票证
weixin_33329746的博客
03-08 977
我正在运行JMeter,这取决于 JDK 1.8 的 Krb5LoginModule .在我看来, Krb5LoginModule 无法跨多个请求维护kerberos会话 . 这会导致 HTTP 401 并在每次请求之前重新进行握手 .我正在尝试重现具有严重间歇性性能问题的 生产环境 环境,我想在我的测试中包含Kerberos / SSO身份验证,但我无法将其设置为像使用我的REST服务器的Wi...
Exception in thread "main" org.I0Itec.zkclient.exception.ZkAuthFailedException: Authentication failu...
微信公众号:大数据从业者
03-02 1013
Exception in thread "main" org.I0Itec.zkclient.exception.ZkAuthFailedException: Authentication failure is thrown while creating kafka topic 个问题,截止Deepak Sharma2016年11月09日 09:36Kafkasecurity ...
Kafka 1.1.1版本利用SASL/Kerberos进行身份认证
ShanQuanQiang的专栏
01-16 6128
  准备工作 配置kdc 配置kafka brokers 配置zookeeper 配置kafka客户端 常见问题 1.准备工作 系统环境:Centos 7 在Kerberos的部署过程中,要求使用FQDN,即Hostname.DomainName。 hostname的查看命令: hostname domainname的查看命令:d...
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-24 3139
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
Ranger API与Kerberos认证:集成方法与安全性深度剖析
!... # 摘要 随着大数据生态系统的快速发展,Ranger API与Kerberos集成成为提升数据...本文首先概述了Ranger API与Kerberos认证的基本原理和架构,然后详细介绍了集成过程中的配置要点和集成步骤。文章接着深入分析了集
Kafka消息高可用、高性能实现原理和应用代码实践
AI天才研究院
09-03 1826
在当今大数据时代,实时数据处理和分析变得越来越重要。企业需要能够快速、可靠地处理海量数据,以支持业务决策和用户体验优化。Apache Kafka作为一个分布式流处理平台,凭借其高吞吐量、低延迟和可扩展性,成为了许多企业处理实时数据流的首选解决方案。Kafka最初由LinkedIn开发,现已成为Apache软件基金会的顶级开源项目之一。它不仅仅是一个消息队列系统,更是一个完整的分布式流处理平台,能够支持高可用性和高性能的数据传输和处理。
如何为Kafka加上账号密码(二)
weixin_37561180的博客
02-10 4465
上篇文章中我们讲解了Kafka认证方式和基础概念,并比较了不同方式的使用场景。我们在《》中集群统一使用PLAINTEXT通信。Kafka通常是在内网使用,但也有特殊的使用场景需要暴漏到公网上,如果未设置认证Kafka集群允许通过公网访问,或暴漏给全部研发人员是极不安全的方式。本小节我们就为Kafka添加最简单的认证方式,也就是SASL_PLAINTEXT(即SASL/PLAIN+ 非加密通道)。
Kerberos 认证过程中超时的问题记录
weixin_40925318的博客
10-19 4473
Kerberos 认证过程中超时的问题记录com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:776参考的方法解决 在跑一个扫描hive表的任务的时候,经常2个多小时任务就失败了,报错如下: Caused by: javax.security.auth.login.LoginException: connect timed out at com.sun.security.auth.m
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase
m0_60607536的博客
04-05 1672
以上可以先在node3节点进行配置,然后分发到node4~node5节点上。如下:在node3~node5各个节点执行如下命令,启动zookeeper。#启动zookeeper#检查zookeeper状态HBase也支持Kerberos安全认证,经过测试,HBase2.5.x版本在经过Kerberos认证后与Hadoop通信认证有异常,具体报错如下:我们这里使用的Hadoop版本为3.3.4,HBase版本选择2.2.6版本。
编写自己的登录与访问控制模块
王道JAVA
08-23 1281
小按:第一次写心得笔记,手都有点抖,班门弄斧啊,呵呵~~~欢迎各位大侠扔砖    安全性是Java鼓吹得最多的特性之一,的确,Java的安全特性涵盖了从应用级别到语言级别乃至JVM本身。以前大家都知道有个Sandbox,但仅有Sandbox尚不能满足,或者说不能很方便地做到我们所需要的全部安全需求,譬如现在一个系统首先起码需要一个登录功能,更进一步的话,还需要对用户访问资源的行为进行约束,下面我想
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值