中心思想,设置kerberos环境变量时,发现JDK源码当中的一个问题,故描述如下。

  在平时的使用中,如果hadoop集群配置kerberos认证的话,使用java访问hdfs或者hive时,需要先进行认证登陆,之后才可以访问。登陆代码大致如下:

package demo.kerberos;

import java.io.IOException;

import org.apache.hadoop.conf.Configuration;

import org.apache.hadoop.fs.Path;

import org.apache.hadoop.security.UserGroupInformation;

public class KerberosLoginTest {

	public static void main(String[] args) throws IOException {

		// 设置kerberos相关登陆信息

		// 方法1:设置krb5.conf配置文件

		System.setProperty("java.security.krb5.conf", "/home/eabour/hadoop/conf/krb5.conf");

		// 方法2:设置kerberos环境变量

		// System.setProperty("java.security.krb5.realm", "HADOOP.COM");

		// System.setProperty("java.security.krb5.kdc", "kdc.server.com");

		// 开启登陆调试日志

		System.setProperty("sun.security.krb5.debug", "true");

		Configuration conf = new Configuration();

		conf.addResource(new Path("/home/eabour/hadoop/conf/core-site.xml"));

		conf.addResource(new Path("/home/eabour/hadoop/conf/hdfs-site.xml"));

		UserGroupInformation.setConfiguration(conf);

		// 登陆kerberos

		UserGroupInformation.loginUserFromKeytab("test@HADOOP.COM", "/home/eabour/test.keytab");

		// TODO

		// 访问HDFS

	}

}

  设置krb5.conf和core-site.xml、hdfs-site.xml相关大数据平台的配置文件,用来初始化相关配置信息。使用krb5.conf登陆没有问题,不管设置多个kdc server还是单个,jdk中的相关模块都会解析出来,jdk源码位置为openjdk\jdk\src\share\classes\sun\security\krb5,其中openjdk的源码地址为http://hg.openjdk.java.net/jdk7u/jdk7u60/jdk/file/33c1eee28403/src/share/classes,其他版本的类似,解析类为sun.security.krb5.Config,部分代码如下:

    /**

     * Private constructor - can not be instantiated externally.

     */

    private Config() throws KrbException {

        /*

         * If either one system property is specified, we throw exception.

         */

        String tmp = getProperty("java.security.krb5.kdc");

        if (tmp != null) {

            // The user can specify a list of kdc hosts separated by ":"

            defaultKDC = tmp.replace(':', ' ');

        } else {

            defaultKDC = null;

        }

        defaultRealm = getProperty("java.security.krb5.realm");

        if ((defaultKDC == null && defaultRealm != null) ||

            (defaultRealm == null && defaultKDC != null)) {

            throw new KrbException

                ("System property java.security.krb5.kdc and " +

                 "java.security.krb5.realm both must be set or " +

                 "neither must be set.");

        }

        // Always read the Kerberos configuration file

        try {

            Vector<String> configFile;

            String fileName = getJavaFileName();

            if (fileName != null) {

                configFile = loadConfigFile(fileName);

                stanzaTable = parseStanzaTable(configFile);

                if (DEBUG) {

                    System.out.println("Loaded from Java config");

                }

            } else {

                boolean found = false;

                if (isMacosLionOrBetter()) {

                    try {

                        stanzaTable = SCDynamicStoreConfig.getConfig();

                        if (DEBUG) {

                            System.out.println("Loaded from SCDynamicStoreConfig");

                        }

                        found = true;

                    } catch (IOException ioe) {

                        // OK. Will go on with file

                    }

                }

                if (!found) {

                    fileName = getNativeFileName();

                    configFile = loadConfigFile(fileName);

                    stanzaTable = parseStanzaTable(configFile);

                    if (DEBUG) {

                        System.out.println("Loaded from native config");

                    }

                }

            }

        } catch (IOException ioe) {

            // No krb5.conf, no problem. We'll use DNS or system property etc.

        }

    }

  

  从代码可以看出,先从环境变量中获取java.security.krb5.kdc和java.security.krb5.realm,然后在读取配置文件java.security.krb5.conf。如果同时设置java.security.krb5.kdc、java.security.krb5.realm和java.security.krb5.conf,在登陆的时候,会使用java.security.krb5.kdc,除非登陆的realm与defaultRealm不一致,从代码中可以看出来。

  那么,我要说的问题来了,在某些场景下,没有设置java.security.krb5.conf变量,而使用java.security.krb5.kdc、java.security.krb5.realm来登陆。在1个或多个kdc server情况下,这样的设置没有问题。我们知道kdc server的默认端口为88,使用的时UDP协议,当然可以为TCP协议,服务端口也可以修改,这时候大致为:

kdc=kdc.server.com:88

  或者

kdc=kdc.server.com:1088

  krb5.conf文件配置

[realms]

    HADOOP.COM = {

    kdc = kdc.server.com:1088

}

  此时,设置环境变量:

System.setProperty("java.security.krb5.kdc", "kdc.server.com:1088");

  那么,真正的问题就来了,执行登陆的话,会出现如下报错:

Caused by: GSSException: No valid credentials provided (Mechanism level: ICMP Port Unreachable)

at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:775)

at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:248)

at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)

at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)

… 76 more

Caused by: java.net.PortUnreachableException: ICMP Port Unreachable

at java.net.PlainDatagramSocketImpl.receive0(Native Method)

at java.net.AbstractPlainDatagramSocketImpl.receive(AbstractPlainDatagramSocketImpl.java:143)

at java.net.DatagramSocket.receive(DatagramSocket.java:812)

at sun.security.krb5.internal.UDPClient.receive(NetClient.java:206)

at sun.security.krb5.KdcComm$KdcCommunication.run(KdcComm.java:411)

at sun.security.krb5.KdcComm$KdcCommunication.run(KdcComm.java:364)

at java.security.AccessController.doPrivileged(Native Method)

at sun.security.krb5.KdcComm.send(KdcComm.java:348)

at sun.security.krb5.KdcComm.sendIfPossible(KdcComm.java:253)

at sun.security.krb5.KdcComm.send(KdcComm.java:229)

at sun.security.krb5.KdcComm.send(KdcComm.java:200)

at sun.security.krb5.KrbTgsReq.send(KrbTgsReq.java:254)

at sun.security.krb5.KrbTgsReq.sendAndGetCreds(KrbTgsReq.java:269)

at sun.security.krb5.internal.CredentialsUtil.serviceCreds(CredentialsUtil.java:302)

at sun.security.krb5.internal.CredentialsUtil.acquireServiceCreds(CredentialsUtil.java:120)

at sun.security.krb5.Credentials.acquireServiceCreds(Credentials.java:458)

at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:693)

  为什么会报错呢?因为在解析环境变量时,解析出问题了,现在,再来看看解析代码:

    /**

     * Private constructor - can not be instantiated externally.

     */

    private Config() throws KrbException {

        /*

         * If either one system property is specified, we throw exception.

         */

        String tmp = getProperty("java.security.krb5.kdc");

        if (tmp != null) {

            // The user can specify a list of kdc hosts separated by ":"

            defaultKDC = tmp.replace(':', ' ');

        } else {

            defaultKDC = null;

        }

        defaultRealm = getProperty("java.security.krb5.realm");

        if ((defaultKDC == null && defaultRealm != null) ||

            (defaultRealm == null && defaultKDC != null)) {

            throw new KrbException

                ("System property java.security.krb5.kdc and " +

                 "java.security.krb5.realm both must be set or " +

                 "neither must be set.");

        }

  请看红色黄底的代码 defaultKDC = tmp.replace(':', ' ') ,对,就是这句代码的问题,他将kdc.server.com:1088分割为kdc.server.com和1088了,认为时两个kdc server。我的心崩溃呀,为什么要用冒号来分割多个server的配置,如果在使用默认端口的话,这样也没问题,但是,如果kdc修改了端口,这种通过环境变量设置kdc server的方式就没法用了。

  到最后,原来时jdk源码的问题,正常的途径怕是设置不了了。但是,不是不能修改了,我们可以用反射来修改ConfigdefaultKDC的值,虽然说defaultKDC为final String ,到那时它是private final String defaultKDC;,所以还是可以修改的。

  以上就是我分析的问题,在实际项目中是真实遇到过,因为涉及JDK底层代码,所以请大家来参详一下。

附:

1.kerberos配置文件设置:https://www.ibm.com/support/knowledgecenter/zh/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/tsec_kerb_create_conf.html

关于hadoop登陆kerberos时设置环境变量问题的思考的更多相关文章

  1. docker 容器启动时设置环境变量source

    镜像启动时,自动执行的是~/.bashrc文件,所以,环境变量需要配置在该文件内,这样镜像启动时,可自动执行该文件,使环境变量生效. vi  ~/.bashrc ------------------- ...

  2. Mac 可设置环境变量的位置、查看和添加PATH环境变量

    Mac 启动加载文件位置(可设置环境变量) ------------------------------------------------------- (1)首先要知道你使用的Mac OS X是什 ...

  3. 转载--Ubuntu设置环境变量

    Ubuntu设置环境变量并立即生效(以Ubuntu12.04为例) 标签: UbuntuLinux环境变量 2013-09-12 19:04 9961人阅读 评论(1) 收藏 举报  分类: Ubun ...

  4. Mac可设置环境变量的位置、查看和添加PATH环境变量

    Mac 启动加载文件位置(可设置环境变量) 首先要知道你使用的 Mac OS X 是什么样的 Shell,使用命令 echo $SHELL 如果输出的是:csh 或者是 tcsh,那么你用的就是 C ...

  5. Ubuntu设置环境变量并立即生效

    Ubuntu Linux系统包含两类环境变量:系统环境变量和用户环境变量.系统环境变量对所有系统用户都有效,用户环境变量仅仅对当前的用户有效. 修改用户环境变量 用户环境变量通常被存储在下面的文件中: ...

  6. crontab演出newLISP脚本设置环境变量

    今天遇到一个问题.执行在终端newLISP文字,一切正常,搬去crontab在将无法正常工作.即使crontab -e命令是在同一个用户执行.还是有问题. 因为newLISP脚本使用hive和hado ...

  7. Linux中使用export命令设置环境变量

    Linux export 命令 2011-08-31 22:36:39|  分类: 命令总结|举报|字号 订阅     功能说明:设置或显示环境变量. ######################## ...

  8. 00006 - Linux中使用export命令设置环境变量

    功能说明:设置或显示环境变量. #################################################################################### ...

  9. CentOS 设置环境变量

    1. 查看环境变量,echo 命令用于在终端输出字符串或变量提取后的值,格式为“echo [字符串 | $变量]” echo $PATH /usr/local/bin:/usr/bin:/usr/lo ...

随机推荐

  1. 关于spring 获取不到网站上的xsd的处理记录

    前两天做一个项目还好好的,今天突然报出这个错误 cvc-complex-type.2.4.c: The matching wildcard is strict, but no declaration ...

  2. 四、绑定SignaIR的用户管理

    一.用户分组(第一个默认我的好友,禁删和更改) 没有分组id,更改layim代码: 更改id即可. layui.define('jquery', function (exports) { " ...

  3. CCPC-Wannafly Winter Camp Day1 流流流动 (树形dp)

    题目描述 喜欢数学的wlswls最近被萎住了. 现在他一共有1...n1...n这么多数字,取数字ii会得到f[i]f[i]的收益.数字之间有些边,对于所有的i(i != 1)i(i!=1),若ii为 ...

  4. Python核心技术与实战——五|条件与循环

    我们在前面学习了列表.元组.字典.集合和字符串等一系列Python的基本数据结构类型,下就需要把这一个个基本的数据串在一起了,这就要用到我们今天要讲的东西——”条件与循环“. 一.条件语句 条件语句的 ...

  5. spring security基本知识(二) 自定义认证

    配置自定义的用户存储 我们在 SecurityConfig 的配置类中 重写了 configure(AuthenticationManagerBuilder auth) 方法,我们可以通过 Authe ...

  6. CCF201412-2 Z字形扫描 java(100分)

    试题编号: 201412-2 试题名称: Z字形扫描 时间限制: 2.0s 内存限制: 256.0MB 问题描述: 问题描述 在图像编码的算法中,需要将一个给定的方形矩阵进行Z字形扫描(Zigzag ...

  7. NOIP2017 D2T2 宝藏

    洛谷P3959 其实就是一道暴力搜索题……只是需要一个状态压缩的剪枝比较难想而已 这根本不叫dfs!只是一个递归而已……开始就被dfs坑了 思路: 首先一个基本的预处理 数据范围n≤12,m≤5000 ...

  8. Vuex-全局状态管理【传递参数】

    src根目录 新建store文件夹,新建index.js 作为入口 在store文件夹中 新建modules文件夹 modules文件夹中,新建 a.js b.js 2个文件 a.js const s ...

  9. php array_flip()函数 语法

    php array_flip()函数 语法 作用:用于反转/交换数组中所有的键名以及它们关联的键值.富瑞联华 语法:array_flip(array); 参数: 参数 描述 array 必需.规定需进 ...

  10. 前端js怎么实现大文件G级的断点续传(分块上传)和分段下载

    需求: 支持大文件批量上传(20G)和下载,同时需要保证上传期间用户电脑不出现卡死等体验: 内网百兆网络上传速度为12MB/S 服务器内存占用低 支持文件夹上传,文件夹中的文件数量达到1万个以上,且包 ...