2. 程式人生 > >關於hadoop登陸kerberos時設定環境變數問題的思考

關於hadoop登陸kerberos時設定環境變數問題的思考

阿新 發佈:2018-12-15

  中心思想,設定kerberos環境變數時,發現JDK原始碼當中的一個問題,故描述如下。

  在平時的使用中,如果hadoop叢集配置kerberos認證的話,使用java訪問hdfs或者hive時,需要先進行認證登陸,之後才可以訪問。登陸程式碼大致如下:

package demo.kerberos;

import java.io.IOException;

import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.fs.Path;
import org.apache.hadoop.security.UserGroupInformation;

public class KerberosLoginTest {

	public static void main(String[] args) throws IOException {
		// 設定kerberos相關登陸資訊
		// 方法1:設定krb5.conf配置檔案
		System.setProperty("java.security.krb5.conf", "/home/eabour/hadoop/conf/krb5.conf");
		// 方法2:設定kerberos環境變數
		// System.setProperty("java.security.krb5.realm", "HADOOP.COM");
		// System.setProperty("java.security.krb5.kdc", "kdc.server.com");
		// 開啟登陸除錯日誌
		System.setProperty("sun.security.krb5.debug", "true");
		Configuration conf = new Configuration();
		conf.addResource(new Path("/home/eabour/hadoop/conf/core-site.xml"));
		conf.addResource(new Path("/home/eabour/hadoop/conf/hdfs-site.xml"));
		UserGroupInformation.setConfiguration(conf);
		// 登陸kerberos
		UserGroupInformation.loginUserFromKeytab("
 
[email protected]", "/home/eabour/test.keytab");
		// TODO
		// 訪問HDFS
	}

}

  設定krb5.conf和core-site.xml、hdfs-site.xml相關大資料平臺的配置檔案,用來初始化相關配置資訊。使用krb5.conf登陸沒有問題,不管設定多個kdc server還是單個,jdk中的相關模組都會解析出來,jdk原始碼位置為openjdk\jdk\src\share\classes\sun\security\krb5,其中openjdk的原始碼地址為http://hg.openjdk.java.net/jdk7u/jdk7u60/jdk/file/33c1eee28403/src/share/classes,其他版本的類似,解析類為sun.security.krb5.Config,部分程式碼如下:

    /**
     * Private constructor - can not be instantiated externally.
     */
    private Config() throws KrbException {
        /*
         * If either one system property is specified, we throw exception.
         */
        String tmp = getProperty("java.security.krb5.kdc");
        if (tmp != null) {
            // The user can specify a list of kdc hosts separated by ":"
            defaultKDC = tmp.replace(':', ' ');
        } else {
            defaultKDC = null;
        }
        defaultRealm = getProperty("java.security.krb5.realm");
        if ((defaultKDC == null && defaultRealm != null) ||
            (defaultRealm == null && defaultKDC != null)) {
            throw new KrbException
                ("System property java.security.krb5.kdc and " +
                 "java.security.krb5.realm both must be set or " +
                 "neither must be set.");
        }

        // Always read the Kerberos configuration file
        try {
            Vector<String> configFile;
            String fileName = getJavaFileName();
            if (fileName != null) {
                configFile = loadConfigFile(fileName);
                stanzaTable = parseStanzaTable(configFile);
                if (DEBUG) {
                    System.out.println("Loaded from Java config");
                }
            } else {
                boolean found = false;
                if (isMacosLionOrBetter()) {
                    try {
                        stanzaTable = SCDynamicStoreConfig.getConfig();
                        if (DEBUG) {
                            System.out.println("Loaded from SCDynamicStoreConfig");
                        }
                        found = true;
                    } catch (IOException ioe) {
                        // OK. Will go on with file
                    }
                }
                if (!found) {
                    fileName = getNativeFileName();
                    configFile = loadConfigFile(fileName);
                    stanzaTable = parseStanzaTable(configFile);
                    if (DEBUG) {
                        System.out.println("Loaded from native config");
                    }
                }
            }
        } catch (IOException ioe) {
            // No krb5.conf, no problem. We'll use DNS or system property etc.
        }
    }

  

  從程式碼可以看出,先從環境變數中獲取java.security.krb5.kdc和java.security.krb5.realm,然後在讀取配置檔案java.security.krb5.conf。如果同時設定java.security.krb5.kdc、java.security.krb5.realm和java.security.krb5.conf,在登陸的時候,會使用java.security.krb5.kdc,除非登陸的realm與defaultRealm不一致,從程式碼中可以看出來。

  那麼,我要說的問題來了,在某些場景下,沒有設定java.security.krb5.conf變數,而使用java.security.krb5.kdc、java.security.krb5.realm來登陸。在1個或多個kdc server情況下,這樣的設定沒有問題。我們知道kdc server的預設埠為88,使用的時UDP協議,當然可以為TCP協議,服務埠也可以修改,這時候大致為:

kdc=kdc.server.com:88

  或者

kdc=kdc.server.com:1088

  krb5.conf檔案配置

[realms]
    HADOOP.COM = {
    kdc = kdc.server.com:1088
}

  此時,設定環境變數:

System.setProperty("java.security.krb5.kdc", "kdc.server.com:1088");

  那麼,真正的問題就來了,執行登陸的話,會出現如下報錯:

Caused by: GSSException: No valid credentials provided (Mechanism level: ICMP Port Unreachable)
at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:775)
at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:248)
at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)
… 76 more
Caused by: java.net.PortUnreachableException: ICMP Port Unreachable
at java.net.PlainDatagramSocketImpl.receive0(Native Method)
at java.net.AbstractPlainDatagramSocketImpl.receive(AbstractPlainDatagramSocketImpl.java:143)
at java.net.DatagramSocket.receive(DatagramSocket.java:812)
at sun.security.krb5.internal.UDPClient.receive(NetClient.java:206)
at sun.security.krb5.KdcComm$KdcCommunication.run(KdcComm.java:411)
at sun.security.krb5.KdcComm$KdcCommunication.run(KdcComm.java:364)
at java.security.AccessController.doPrivileged(Native Method)
at sun.security.krb5.KdcComm.send(KdcComm.java:348)
at sun.security.krb5.KdcComm.sendIfPossible(KdcComm.java:253)
at sun.security.krb5.KdcComm.send(KdcComm.java:229)
at sun.security.krb5.KdcComm.send(KdcComm.java:200)
at sun.security.krb5.KrbTgsReq.send(KrbTgsReq.java:254)
at sun.security.krb5.KrbTgsReq.sendAndGetCreds(KrbTgsReq.java:269)
at sun.security.krb5.internal.CredentialsUtil.serviceCreds(CredentialsUtil.java:302)
at sun.security.krb5.internal.CredentialsUtil.acquireServiceCreds(CredentialsUtil.java:120)
at sun.security.krb5.Credentials.acquireServiceCreds(Credentials.java:458)
at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:693)

 

  為什麼會報錯呢?因為在解析環境變數時,解析出問題了,現在,再來看看解析程式碼:

    /**
     * Private constructor - can not be instantiated externally.
     */
    private Config() throws KrbException {
        /*
         * If either one system property is specified, we throw exception.
         */
        String tmp = getProperty("java.security.krb5.kdc");
        if (tmp != null) {
            // The user can specify a list of kdc hosts separated by ":"
            defaultKDC = tmp.replace(':', ' ');
        } else {
            defaultKDC = null;
        }
        defaultRealm = getProperty("java.security.krb5.realm");
        if ((defaultKDC == null && defaultRealm != null) ||
            (defaultRealm == null && defaultKDC != null)) {
            throw new KrbException
                ("System property java.security.krb5.kdc and " +
                 "java.security.krb5.realm both must be set or " +
                 "neither must be set.");
        }

  請看紅色黃底的程式碼 defaultKDC = tmp.replace(':', ' ')對,就是這句程式碼的問題,他將kdc.server.com:1088分割為kdc.server.com和1088了,認為時兩個kdc server。我的心崩潰呀,為什麼要用冒號來分割多個server的配置,如果在使用預設埠的話,這樣也沒問題,但是,如果kdc修改了埠,這種通過環境變數設定kdc server的方式就沒法用了。

  到最後,原來時jdk原始碼的問題,正常的途徑怕是設定不了了。但是,不是不能修改了,我們可以用反射來修改ConfigdefaultKDC的值,雖然說defaultKDC為final String ,到那時它是private final String defaultKDC;,所以還是可以修改的。

  以上就是我分析的問題,在實際專案中是真實遇到過,因為涉及JDK底層程式碼,所以請大家來參詳一下。

 

 

附:

1.kerberos配置檔案設定:https://www.ibm.com/support/knowledgecenter/zh/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/tsec_kerb_create_conf.html

 

相關推薦

關於hadoop登陸kerberos設定環境變數問題的思考

  中心思想,設定kerberos環境變數時,發現JDK原始碼當中的一個問題,故描述如下。   在平時的使用中,如果hadoop叢集配置kerberos認證的話,使用java訪問hdfs或者hive時,需要先進行認證登陸,之後才可以訪問。登陸程式碼大致如下: package demo.kerbero

Hadoop在windows中的環境變數設定

一、使用者變數與系統變數的區別系統變數:是指系統環境變數,對所有使用者起作用;使用者變數:只對當前使用者起作用。二、Hadoop在Windows10中的環境變數設定方法:1.安裝JDK並配置Java環境變數1)安裝JDK在C:\Program Files\Java\jdk1.8.0_112(可根據部署的實際情

ubuntu設定環境變數錯誤導致系統無法登陸解決方法

您的會話只持續了不到10秒鐘。如果您沒有登出,這就意味著安裝可能出現了問題,或者您的磁碟空間已耗盡。可以試試以某個安全模式會話登入,以便檢視是否可以解決此問題。 檢視細節(~/.xsession-errors檔案) /etc/gdm/Xsession:B

實現uboot 命令自動補全 及 修正設定環境變數自啟動核心

語文地址:http://blog.csdn.net/liukun321/article/details/6641478 習慣了了linux下的命令自動補全,換做uboot下的單個字元的輸入長串命令,實在是不太習慣。常常在uboot下習慣性的按TAB鍵。為了習慣,下面來

Java設定環境變數Path的變數值怎麼設定

Windows下JAVA用到的環境變數主要有3個,JAVA_HOME、CLASSPATH、PATH。 JAVA_HOME指向的是JDK的安裝路徑,如C:/JDK_1.4.2,在這路徑下你應該能夠找到bin、lib等目錄。值得一提的是,JDK的安裝路徑可以選擇任意磁碟目錄,不過建議你放的目錄層次淺一點,如果你放

Postman設定環境變數

一、好處 需要重複使用的值儲存在變數裡面,可以省去輸入時間,減少輸入錯誤事件 二、設定 1.Manage Environments--設定執行環境     2、此處設定了兩個環境:local和remote   3、點選環境,配置屬於當前環境的變數  

win7設定環境變數需要重啟生效問題

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

瞭解SQLPLUS連線資料庫的方法 ,掌握SQLPLUS設定環境變數的操作方法 ,掌握利用SQLPLUS格式化查詢結果的方法 ,掌握常用的SQLPLUS命令,掌握在SQLPLUS編寫及運

撰寫人——軟工二班——陳喜平 – 實驗步驟: – 1、利用SQLPLUS連線oracle資料庫 sqlplus s16436220/[email protected] – 2、設定SQLPLUS的環境變數 – pagesize – linesize show p

Java - 安裝jdk並設定環境變數

前言 雙十一買了臺新的筆記本,需要重新安裝下Java,這裡記錄下安裝的過程,畢竟萬事開頭難,就算是老手也不一定能一次就把Java安裝成功。 安裝jdk 作為一名Java開發,當然是要安裝jdk了,如果只是需要Java的執行環境,那麼安裝jre就足夠了。另外說下,jdk裡以及包含了jre了。 首先去官網

Mysql:設定環境變數

問題:mysql使用系統計劃任務備份,點選bat檔案,生成檔案,沒有資料 原因:mysqldump 為MySQL提供的備份命令,該命令所在目錄為MySQL安裝目錄下的bin資料夾中,此處直接使用該命令的前提是該命令所在bin資料夾已被設定為系統環境變數 步驟 我的電腦右鍵

setenv、export函式設定環境變數

    setenv函式   函式 setenv()用來改變或增加環境變數的內容。相關函式有 getenv,putenv,unsetenv。   表頭檔案為#include<stdlib.h>   定義函式 int setenv(const char *na

Mac 設定環境變數的位置、檢視和新增PATH環境變數

Mac 啟動載入檔案位置(可設定環境變數) ------------------------------------------------------- (1)首先要知道你使用的Mac OS X是什麼樣的Shell,使用命令 echo $SHELL 如果輸出的是:csh或者是tcs

Windows: CMD設定環境變數

2018.11.01 文章目錄 前言 方法 前言 在Windows下安裝JDK或者部署Tomcat,安裝環境變數的過程總讓我覺得很蛋疼,每次點選都讓人覺得麻煩。所以找到了在CMD上命令列設定環境變數的

解決 Flask 專案無法用 .env 檔案中解析的引數設定環境變數的錯誤

在 Windows 上啟動 Flask 專案時,工作目錄有 UTF-8 編碼的 .env 檔案,裡面配置的環境變數在 Python2 中識別為 Unicode 型別,導致下述錯誤: * Serving Flask app "bootstrap" (lazy loading) * Environme

MAC 設定環境變數PATH 和 檢視PATH

理論篇 Mac系統的環境變數,載入順序為: /etc/profile /etc/paths ~/.bash_profile ~/.bash_login ~/.profile ~/.bashrc /etc/profile和/etc/paths是系統級別的,系統啟動就會載入,後面幾個是當前使用者級的環境變數

powershell 設定環境變數

cmd 是用set 匯出變數,到了powershell中不好使了,下面介紹下匯出變數的方法,比如想設定 ETCDCTL_API=3 在powershell中執行下面命令就可以了 $Env:ETCDCTL_API=3 比如想在環境變數的PATH下新增一條內容,用如下命令,注意

SOA在Linux下載資料集物理檔案設定環境變數

背景 需要用到soa下載資料集物理檔案,並上傳到sftp伺服器,soa程式碼打包為可執行jar,放於Linux伺服器執行,設定了正確的FMS_HOME環境變數,並把FMS_HOME/lib追加在PATH環境變數後,仍然報錯,提示FMS_HOME可能不正確,載入不到FMS_HOME/lib下面

Java jdk設定環境變數

第一種方式: 找到安裝目錄(我這裡是M:\java\jdk\bin) 設定環境變數PATH 開啟搜尋小娜,輸入path。如果你是win7或者沒有小娜的win10自己百度如何找到環境變數。 3.點選設定環境變數 點選path,然後編輯 在

linux設定環境變數(這裡以hive為例給大家舉例)

1.進入: cd /export/servers/hive/bin/ -rwxr-xr-x. 1 root root 1031 Apr 30 2015 beeline-rw-r--r--. 1 root root 21064 Nov 18 00:40 derby.logdrwxr-xr-x. 3 root r

ASP.NET CORE 2.0 釋出到IIS,IIS如何設定環境變數來區分生產環境和測試環境

0.前言 因為給前端的測試環境是windows,所以要設定windows上的環境變數,如果上Linux就沒有這篇文章了,所以大家不要在意為什麼core不放在linux上。 1.網上的解決方案  a 方式:通過 setx 命令設定環境變數引數,文章地址:https://www.cnblogs.com/xishu