java能否实现访问kerberos和simple安全级别的两个集群(补充解决方案)

最新推荐文章于 2023-04-24 19:23:25 发布
最新推荐文章于 2023-04-24 19:23:25 发布
阅读量4.2k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java-hadoop 文章标签: java hadoop hdfs kerberos 安全级别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41768413/article/details/82848428
本文探讨了在Java程序中实现对多个不同安全级别的Hadoop集群进行读写的挑战,包括Kerberos和Simple认证下的互斥问题及解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

走过路过的java/hadoop大神,帮忙给看看。现在我的java程序,需要同时实现对多个集群的读写,这些集群分别由kerberos和simple这样不同的安全级别,我是在方法中用分支实现的,但是访问时,总是会出现互相影响的情况,基本有两种异常。

如果simple集群访问成功,kerberos集群会失败,异常信息:

org.apache.hadoop.security.AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]

如果kerberos集群访问成功,simple集群会失败,异常信息:

server asks to fall back to simple auth but this client is configured to only allow secure connections

我连接hdfs的java代码如下(其中的FileSystem对象fs返回后,在上下文使用来获取输入流和输出流):

import java.net.URI;
import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.fs.FileSystem;
// iskerberos为判断是否需要kerberos认证,uri指登陆的集群;因为是多线程运行,会有线程同时进入if和else分支
public FileSystem getHdfsStream(Boolean iskerberos, uri) {
    Configuration conf = new Configuration();
    if (iskerberos) {
        System.setProperty("java.security.krb5.conf", "D:\\krb5.conf");
        conf.set("hadoop.security.authentication", "kerberos");
        conf.set("hadoop.security.authorization", true);
        try {
            UserGroupInformation.setConfiguration(conf);
            UserGroupInformation.loginUserFromKeytab(USER_KEY, KEY_TAB_PATH);
            FileSystem fs = FileSystem.get(URI.create(uri), conf);
            return fs;
        } catch (IOException e) {
            e.printStackTrace();
        }
    } else {
        UserGroupInformation.setConfiguration(conf);
        FileSystem fs = FileSystem.get(URI.create(uri), conf);
        return fs;
    }
    return null;
}

我也试了将if和else中创建UserGroupInformation对象,在对象doAs方法下生成fs,详细代码如下:

// ugi是在类中定义的成员变量UserGroupInformation ugi= null
if (iskerberos) {
        System.setProperty("java.security.krb5.conf", "D:\\krb5.conf");
        conf.set("hadoop.security.authentication", "kerberos");
        conf.set("hadoop.security.authorization", true);
        try {
            ugi.setConfiguration(conf);
            ugi.loginUserFromKeytab(USER_KEY, KEY_TAB_PATH);
            FileSystem fs = ugi.doAs(new PrivilegedExceptionAction <FileSystem>) {
                public FileSystem run() thows IOException{
                    return FileSystem.get(URI.create(uri), conf);
            }
            });
            return fs;
        } catch (IOException e) {
            e.printStackTrace();
        }
    } else {
        ugi.setConfiguration(conf);
        ugi.createRemoteUser(USER_KEY);
        FileSystem fs = ugi.doAs(new PrivilegedExceptionAction <FileSystem>) {
            public FileSystem run() thows IOException{
                return FileSystem.get(URI.create(uri), conf);
            }
            });
        return fs;
    }

但是结果依然不行。。。

最近被这个问题困扰了很久,一直没找到解决办法。还烦请给指点一二!

 

 解决方案补充:

设置conf为允许simple模式通过kerberos链接:

import org.apache.hadoop.fs.CommonConfigurationKeys
conf.setBoolean(CommonConfigurationKeys.IPC_CLIENT_FALLBACK_TO_SIMPLE_AUTH_ALLOWED_KEY, true)

可解决Hbase、HDFS、Hive开启和不开启kerberos同时抽取的问题,kafka还存在问题,暂时找不到解决办法。

HBase权限控制:Kerberos集成与安全配置
大数据洞察的博客
05-20 747
本文旨在为大数据工程师安全管理员提供全面的HBase安全配置指南,重点涵盖Kerberos认证集成细粒度权限控制。内容范围包括理论原理、配置步骤、实战案例最佳实践。本文首先介绍HBase安全基础概念,然后深入Kerberos集成细节,接着展示实际配置步骤代码示例,最后讨论高级安全特性生产环境最佳实践。Kerberos: 一种网络认证协议,通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证: 访问控制列表,定义用户对资源的访问权限Principal。
Kafka安全性与访问控制
AI天才研究院
06-08 1185
Kafka安全性与访问控制 1.背景介绍 Apache Kafka是一个分布式流处理平台,被广泛应用于大数据领域。随着越来越多的企业采用Kafka作为关键的数据管道,确保Kafka的安全性访问控制变得至关重要。本文将深入探讨Kafka安全性访问控制的核心概念、实现原理最佳实践。
kerberosjava实现
06-07
java语言实现的简单的kerberos,可以对客户端进行AS,tgs的认证
0553-6.1.0-如何使用Java代码同时访问安全非安全CDH集群
Hadoop_SC的博客
11-30 538
1 文档编写目的 做Hadoop应用开发的过程中,用户会有这样的需求,在同一个Java应用中同时访问安全非安装的CDH集群。同一个Java应用即同一个进程同一个JVM,由于一些全局的变量可能会导致无法同时访问安全非安全的集群。本篇文章Fayson介绍下如何使用Java代码同时访问安全非安全的CDH集群。 内容概述 1.环境准备 2.示例代码准备及运行验证 3.总结 测试环境 1.Re...
hdfs客户端实例(kerberos+simple
tian的博客
07-04 6075
1.非安全模式 在非安全模式下,访问hdfs文件系统的客户端代码如下: package ntci.hadoop.hdfs.test; import org.apache.hadoop.classification.InterfaceAudience; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop...
java同时访问kerberos不开kerberos集群
m0_37797416的博客
02-02 1763
ipc.client.fallback-to-simple-auth-allowed把这个参数设置到Configuration中 conf.setBoolean("ipc.client.fallback-to-simple-auth-allowed", true); 可参照hadoop-common中ipc包下的client类,默认此参数是false;...
Java访问带有Kerberos认证的HBase
blackice1015的博客
10-26 1万+
Java访问带有Kerberos认证的HBase 开始之前    因为HBase的存储系统是基于Hadoop的存储,现在Hadoop已经增加了Kerberos认证机制,这样HBase的客户端访问HBase数据库的时候也需要进行身份的认证。    Kerberos是一个认证中心,客户端在访问HBase前必须通过认证才能访问,下图是Kerberos的认证图:
Kafka集群多用户访问权限分治消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-24 3283
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证
程序猿丶HLK
02-28 5304
注:在配置kerberos认证之前,必须先确保成功安装kerberos集群 安装教程:Centos7安装大数据安全认证组件Kerberos。 一、环境说明 环境说明 系统环境 集群节点分布 名称 版本 IP地址 ...
Spark 本地连接远程服务器上带有kerberos认证的Hive
主要分享大数据相关的知识,如Spark、Hudi
11-01 4994
前言 因为公司的测试环境带有kerberos,而我经常需要本地连接测试集群上的hive,以进行源码调试。而本地认证远程集群kerberos,并访问hive,在服务器上提交Spark程序代码有些不同,所以专门研究了一下 并进行总结。 服务器上 在服务器上提交Spark程序认证kerberos比较简单,有两种方法: 使用kinit 缓存票据 kinit -kt /etc/security/keytabs/hive.service.keytab hive/indata-192-168-44-128.inda
Java实现的基于 Kerberos 网络认证协议的分布式应用——邮箱
qq_43794633的博客
06-17 1315
目录1.基本说明2.详细说明(一定要看)3.源码 1.基本说明 开发运行环境:Windows、Eclipse、SQL Server。 项目描述:用户在登录时利用 Kerberos 进行认证,邮箱具有基本的功能包括邮件收发、用户注册、修改密码,同时对邮件利用 RSA 进行签名。小组四人在编写开发文档的前提下使用 Java 进行开发,本人负责的是 AS、EmailServer、DES、RSA 的编写(所有代码已征得同意发出来)。 2.详细说明(一定要看) 该Kerberos并不是其完全体,只是实现了一些,
java代码实现向有kerberos认证的kafka中发送数据
weixin_43865381的博客
08-20 3737
java代码实现向有kerberos认证的kafka中发送avro格式数据 1.在idea中创建一个maven工程 1.1 pom.xml 内容 <dependencies> <dependency> <groupId>org.apache.kafka</groupId> &lt...
kafka开启Kerberos安全认证Java编程生成者与消费组示例
Tu_maimes
07-06 2075
一、相关配置文件 kafka_client_jaas.conf配置项 KafkaClient { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true storeKey=true keyTab="D:\\kafka-connect\\5.5.0\\kafka-schema-test\\src\\main\\resources\\test.service.keytab" useTic
java Hbase API + kerberos windows与linux端代码
麻辣灬小笼包的博客
07-11 340
java hbase api + kerberos + windows端linux端代码
hadoopAccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]
九师兄
03-03 2638
今天要对接华为的hadoop环境,然后我要执行相关的kerberos认证,然后获取到他们的YarnClient。但是报错 他们给的demo案例如下 authentication是主要的安全认证都在这里 做一些检测,然后执行hadoop认证 真正的hadoop认证 在认证中是调用了返回一个用户信息,然后返回给 然后对应的配置文件如下 执行主类运行结果正常,可以看到获取到了Yarn相关的信息 1.2 我的异常 我的跟这个一样的,把他们的Jar包拷贝到我们项目,而且这块认证的跟他们一样,但是我的无法认证通过 然后
解决.security.AccessControlException: org.apache.hadoop.security .AccessControlException方法
zazazazaza96的博客
04-23 1423
hadoop在远程提交时出现org.apache.hadoop.security.AccessControlException: org.apache.hadoop.security .AccessControlException: Permission denied: user=Administrator, access=WRITE, inode=“hadoop: hadoop:supergr...
AccessControlException SIMPLE authentication is not enabled
zsyoung的博客
08-19 8238
现象: 启动namenode,namenode虽然起来了,但是namenode日志信息中很多异常信息: AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS] 原因: 很多依赖hdfs的服务,但是没有开启安全认证,而hdfs开启了。 解决方案: 把依赖hdfs的服务关闭...
org.apache.hadoop.security.AccessControlException: Permission denied: user异常解决方法
热门推荐
技术笔记
07-07 2万+
在执行Hadoop的创建目录、写数据等情况,可能会出现该异常,而在读文件的时候却不会报错,这主要是由于系统的用户名不同导致的,由于我们进行实际开发的时候都是用Windows操作系统,而编译后的JAVA程序是部署在Linux上的。而Windows的用户名一般都是自定义的或者是administrator,Linux的用户名是root,对于Hadoop的部署,也有可能是hadoop用户名。 由于,Had
错误 namenode.NameNode: 启动 namenode 失败。 java.lang.UnsupportedOperationException: getSubject只有在允许安全管理器的情况下才支持
最新发布
03-31
<think>好的,用户现在遇到了另一个Hadoop NameNode启动失败的问题,这次的错误信息是“错误 namenode.NameNode: 启动 namenode 失败。java.lang.UnsupportedOperationException: getSubject只有在允许安全管理器的情况下才支持”。我需要分析这个问题并给出解决方案。 首先,我需要理解这个错误的具体原因。根据错误信息,Java抛出了一个UnsupportedOperationException,指出getSubject方法只有在安全管理器启用的情况下才支持。这说明Hadoop在启动NameNode时尝试调用了需要安全管理器的相关方法,但当前环境中安全管理器未被启用,导致此异常。 接下来,我需要回忆Hadoop中安全管理器的作用。Hadoop的安全管理器(SecurityManager)用于控制代码的执行权限,特别是在启用安全模式(如Kerberos认证)时,安全管理器是必需的。如果Hadoop配置中启用了某些安全相关的选项,但JVM没有启动安全管理器,就可能导致这样的问题。 可能的情况是用户配置了Hadoop的安全选项,比如开启了Kerberos认证,但未正确配置JVM参数来启用安全管理器。或者,用户升级了Hadoop版本,新版本默认需要安全管理器,但配置中没有相应调整。 接下来,我需要考虑用户可能的配置错误。检查hadoop-policy.xml或core-site.xml中是否有与安全相关的配置,比如hadoop.security.authentication设置为kerberos,但没有设置安全管理器。另外,检查启动NameNode时的JVM参数是否包含-Djava.security.manager。 可能的解决方案包括:1. 显式启用安全管理器,通过在hadoop-env.sh中添加JVM参数;2. 关闭不必要的安全配置,如果用户不需要安全模式的话;3. 检查Hadoop版本相关配置是否匹配,特别是安全相关的配置;4. 确保Kerberos相关配置正确,如果确实需要安全模式。 另外,还需要考虑用户是否有意使用安全模式。如果他们不需要,可能建议关闭相关配置;如果需要,则需要正确配置安全管理器Kerberos。同时,用户可能误操作配置,或者升级后出现兼容性问题。 需要提醒用户检查配置文件,特别是core-site.xmlhdfs-site.xml中的安全相关参数,以及JVM启动参数。此外,查看完整的错误日志,确认是否有其他相关错误信息,帮助进一步诊断。 总结,解决方案分两种情况:启用安全管理器或调整安全配置。需要根据用户的实际需求来决定。同时,要强调在修改配置前备份,避免进一步的问题。</think>--- ### `namenode.NameNode: 启动 namenode 失败` 与 `UnsupportedOperationException: getSubject` 问题解析 此错误表明 **Hadoop NameNode 在启动时尝试调用与安全管理器(Security Manager)相关的方法,但当前 JVM 未启用安全管理器**,导致操作不被支持。以下是具体原因与解决方法: --- #### 一、根本原因 - **安全管理器(Security Manager)** 是 Java 的安全控制机制,用于限制代码权限(如文件访问、网络操作等)。 - **Hadoop 安全模式**(如 Kerberos 认证)依赖安全管理器,但某些 Hadoop 版本或配置中,即使未显式启用安全模式,也可能默认调用安全相关方法。 - **错误触发条件**: - Hadoop 配置中启用了安全相关参数(如 `hadoop.security.authentication=kerberos`),但未配置安全管理器。 - JVM 启动参数中缺少 `-Djava.security.manager`。 --- #### 二、解决方案 ##### 方案 1: **显式启用安全管理器** 如果集群需要安全模式(如 Kerberos),需在 JVM 参数中激活安全管理器: 1. 修改 `hadoop-env.sh`,添加以下参数: ```bash export HDFS_NAMENODE_OPTS="-Djava.security.manager -Djava.security.policy=<path_to_policy_file>" ``` - `<path_to_policy_file>` 替换为 Hadoop 安全策略文件路径(如 `$HADOOP_HOME/conf/hadoop-policy.xml`)。 2. 确保策略文件定义了必要的权限([参考示例](https://hadoop.apache.org/docs/stable/hadoop-project-dist/hadoop-common/SecureMode.html))。 ##### 方案 2: **关闭不必要的安全配置** 如果集群无需安全模式,可关闭相关配置: 1. 检查 `core-site.xml`,确认以下参数未强制启用安全模式: ```xml <property> <name>hadoop.security.authentication</name> <value>simple</value> <!-- 确保为 simple 而非 kerberos --> </property> <property> <name>hadoop.security.authorization</name> <value>false</value> <!-- 禁用授权检查 --> </property> ``` 2. 重启 NameNode。 ##### 方案 3: **检查 Hadoop 版本兼容性** - **旧版本 Hadoop**(如 2.x)可能默认不依赖安全管理器,而 **3.x 版本**在部分场景下可能隐式启用。 - 升级后若出现此问题,需同步更新配置文件,或回退到兼容版本。 --- #### 三、验证步骤 1. **检查日志细节**: - 确认错误堆栈中是否包含 `java.security.AccessControlException` 或其他安全相关异常。 2. **查看 JVM 参数**: ```bash ps -ef | grep namenode # 检查实际生效的 JVM 参数 ``` 3. **测试安全策略**: - 若启用了安全管理器,运行简单 HDFS 操作(如 `hdfs dfs -ls /`),验证权限是否正常。 --- #### 四、附加说明 - **Kerberos 环境**:若集群已配置 Kerberos,必须同时满足: 1. 启用安全管理器。 2. 提供有效的 `keytab` 文件 `krb5.conf` 配置。 3. 确保所有节点的时钟同步(使用 NTP)。 - **策略文件权限**:若自定义策略文件,需涵盖 Hadoop 组件的最小必要权限(如文件读写、网络监听等)。 --- #### 五、操作注意事项 - **备份配置**:修改前备份 `core-site.xml`、`hdfs-site.xml` `hadoop-env.sh`。 - **逐步生效**:修改配置后,先尝试手动启动 NameNode 观察日志: ```bash hdfs --daemon start namenode # 手动启动并捕获实时日志 ``` 请根据实际环境选择方案。若问题仍存,提供完整错误日志片段可进一步定位!
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值