elasticsearch 实现基于spark的kerberos认证

Spark与Elasticsearch Kerberos认证改造与自定义UserProvider实现
原创 已于 2022-09-05 16:08:14 修改 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #spark #big data

于 2022-03-02 23:56:23 首次发布
本文详细介绍了如何在Spark集群环境下,通过改造和自定义UserProvider解决Elasticsearch的Kerberos认证问题,包括暴力登录解决方案和优雅的自定义UserProvider配置。

最近由于公司开启了kde集群下所有组件的kerberos认证。所以需改造原有的spark同步组件,读写数据源的时候需先做kerberos认证。以下是spark写入elasticsearch源的认证过程。

首先上网查下资料,发现没有什么有效信息。于是开始撸elasticsearch-hadoop的源码。发现最新的6.7版本是有支持kerberos认证的,相关实现如下:

 代码中,通过当前已登录的UserGroupInformation 信息去创建一个hadoopUser,提供认证相关信息。但奇怪的是jar包源码中找不到任何地方有做UserGroupInformation.loginUserFromKeytab等相关操作。导致这个方法实际无法获取有效的ugi用户。不知道jar包为什么这么设计,我认为是一个bug。不过由于UserGroupInformation的获取登录用户的方法是单例模式(UserGroupInformation.getCurrentUser()),所以只要找个合适的地方做下登录,就可以让

HadoopUserProvider获取到一个有效登录的用户。于是第一个方案就来了:
//遍历所有执行机,进行ugi登录
dataframe.foreachPartition(item => {
    //todo 判断UserGroupInformation是否登录,否则进行登录
    if(UserGroupInformation){
        //注意此处需通过spark.addFile 将 keytab文件分发到各个执行机上
        UserGroupInf
最低0.47元/天 解锁文章
Spark 本地连接远程服务器上带有kerberos认证的Hive
主要分享大数据相关的知识,如Spark、Hudi
11-01 5136
前言 因为公司的测试环境带有kerberos,而我经常需要本地连接测试集群上的hive,以进行源码调试。而本地认证远程集群的kerberos,并访问hive,和在服务器上提交Spark程序代码有些不同,所以专门研究了一下 并进行总结。 服务器上 在服务器上提交Spark程序认证kerberos比较简单,有两种方法: 使用kinit 缓存票据 kinit -kt /etc/security/keytabs/hive.service.keytab hive/indata-192-168-44-128.inda
Elasticsearch+Kerberos认证
u011775740的博客
12-11 6075
Elasticsearch 7.x版本 安全功能部分免费 Xpack功能License等级: 开源、基础级、黄金级、白金级、企业。 Elasticsearch在7.x版本中部分功能免费给大家使用。 例如: 加密通信 基于角色的访问控制 文件和原生身份验证 具体情况可以参考这里。 Xpack的Kerberos认证功能 Kerberos认证目前只有取得白金级License才能使用。 小白也看到过一...
Spark连接ES实现kerberos认证
dkjhl的博客
09-15 2696
Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER spark连接ES,kerberos认证 Missing required negotiation token Mechanism level: Request is a replay (34)
[OpenDistro] elasticsearch安全之开启kerberos
qq_24186017的博客
03-17 939
前言 方案一:修改elasticsearch x-pack模块源码,破解license最低为白金版本 刚开始调研为了使用kerberos,进行了破解。但是作为to B企业,这样做不是很好。所以再寻找其他方案 方案二: 使用亚马逊开源的Open Distro,里面有安全的插件,是完全开源的。 这个方案很适合我们公司,完全开源的。只需要安装插件即可。 ...
Spark SQL Thrift Server 配置 Kerberos身份认证和权限管理
weixin_30315435的博客
10-25 1285
 转载请注明出处:http://www.cnblogs.com/xiaodf/   之前的博客介绍了通过Kerberos + Sentry的方式实现了hive server2的身份认证和权限管理功能,本文主要介绍Spark SQL JDBC方式操作Hive库时的身份认证和权限管理实现。  ThriftServer是一个JDBC/ODBC接口,用户可以通过JDBC/ODBC连接Thrift...
Spark连接需Kerberos认证的HBase
q554518964的博客
09-07 4021
Prerequisite krb5.conf 或 krb5.ini xx.keytab core-site.xml hbase-core.xml CodeshBaseConfig.addResource("hbase-site.xml") hBaseConfig.addResource("core-site.xml") UserGroupInformation.setConfiguration(hB
springboot 集成kerberos 用户认证 获取域账号
最新发布
Java&Develop的博客
05-22 337
springboot 集成kerberos 用户认证 获取域账号
五分钟学会FineReport数据连接Kerberos认证
sjfxnxsr_的博客
11-11 1294
数据分析一直是我们互联网人辨别方向的不二法门,我们通过对数据的观测来判断事物的发展趋势,也常常利用数据的思维来辩证的为决策做参考。下面就给大家详细拆解帆软数据连接Kerberos认证详细步骤,让我们的数据分析少走弯路。1、简介1.1认证方式简介1)Kerberos 认证是 Hadoop 生态的一种通用的认证方式。2直接使用数据连接配置界面中的 Kerberos 认证:主要用于 Hive、HBase 等驱动的认证连接。
spark 写入 es
qq_34009542的博客
08-25 510
<dependency> <groupId>org.elasticsearch</groupId> <artifactId>elasticsearch-hadoop</artifactId> <version>7.10.2</version> </dependency> <dependency&gt...
spark-scala代理认证hadoop的kerberos.rar
10-11
spark scala认证和代理认证hadoop的kerberos代码示例。
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
ElasticSearch7.2.1+SearchGuard+ KerBeros+Kibana 集群测试环境部署文档,全网首发,网上能找到的都没有带上kerberos这种环境的,本文档包含了4大件ElasticSearch、SearchGuard、KerBeros、Kibana,谢谢下载
kerberos安全认证
12-29
kerberos安全认证demo,内含spark、oozie、mr、kafka、hive、hdfs、hbase等认证代码,并有对应开发文档等信息。。。
spark 通过kerberos认证连接impala 获取ResultSet集合转为DataFrame 并写入hive
qq_52095156的博客
06-20 1017
def main(args: Array[String]): Unit = { val impala_db = args(2) // 查询impala库 val impala_tab = args(3) // 查询表名 val query_where = args(4) //查询条件 如Scan全表传空字符串 val LOGGER = LoggerFactory.getLogger(RimpalaDemo2.getClass)//设置日志 // jdbc url 使用kerbero
Spark-代码-整合Hive并进行kerberos认证
DCHAO的博客
02-05 5986
- SparkSQL整合Hive做数据源 - Spark程序连接Hive时进行kerberos认证
Flink和Spark程序读写kafka的Kerberos认证
Mrerlou的博客
09-25 830
这里需要注意的是,由于kafka认证需要的keytab是在executor端,所以需要通过–files参数来提交keytab文件,自动分发到所有executor的工作目录里,所以sasl.jaas.config里只需要指定文件名称就可以,不需要把所有nodemanager节点都手动放一份keytab文件,有些同学不懂–files原理,经常干这事。然后,在consumer和producer的配置参数中使用sasl.jaas.config配置keytab认证。此处不再举例,可以参看以上Spark的配置。
本地pyspark 通过kerberos认证,请求kudu(本地不需要下载kerberos,不用使用shell打开kinit),连接服务器hive
u013153465的博客
06-02 1384
你当然需要在本地装好spark,hadoop,java等环境,保证线上不使用kerberos认证的时候,你的pyspark是可用的。如果不行,请参考我的另一篇文章,当然同样先保证你的环境是OK的,并且环境变量这些都配置好了,同时hosts中的路由也配好了。至于环境变量怎么配置,如何安装,自己查资料吧,我懒得写了写这篇文章主要是百度的可用资料太少,然后这几天刚好碰上我google用不了,再则资料太散乱了,我自己调通之后,就分享出来了。第二步:1. 将hosts中的路由配置好,具体的配置规则问hive小伙伴要2
Java代码使用Spark on Yarn 方式提交任务到带Kerberos认证的Hadoop集群
weixin_34068198的博客
10-16 3809
2019独角兽企业重金招聘Python工程师标准>>> ...
使用Spark读取已开启Kerberos认证的HBase并注册临时表
weixin_44455388的博客
12-22 5761
1、首先获取相应的krb5.conf与keytab文件 2、代码示例: package com.zhbr.hbase.test import java.io.IOException import com.google.protobuf.ServiceException import org.apache.hadoop.hbase.HBaseConfiguration import org.apa...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值