本文由作者周梁伟授权网易云社区发布。

一般我们在使用kbs登陆hadoop服务时都直接在shell中调用kinit命令来获取凭证,这种方式简单直接,只要获取一次凭证之后都可以在该会话过程中重复访问。但是这种方式一个明显的问题就是如果在本次shell中会间隔调用不同的java程序,而这些程序需要访问不同权限的问题,需要在访问前调用各自的ktab文件获得授权。这中场景下情况会变得非常复杂,这时如果把kbs认证的过程移到java程序中就会简单很多,每个java程序中获取各自的凭证,及时多个进程同时运行也不会产生相互影响。我这里介绍两种java中获取kbs凭证的方法,分别使用 org.apache.hadoop.security.SecurityUtil 和 org.apache.hadoop.security.UserGroupInformation 两个类实现。

一、    使用ktab文件简单登录方式

登录操作函数

/**

* 尝试使用kerberos认证登录hfs

*@params

*       conf: 配置,其中带有keytab相关配置属性

*       keytab_KEY: 表示conf中代表keytab文件属性的键值

*       principal_KEY: 表示conf中代表principal属性的键值

* @throws IOException

*/

static void tryKerberosLogin(Configuration conf, String keytab_KEY, String principal_KEY) throws IOException {

boolean useSec = true;

LOG.info("Hadoop Security enabled: " + useSec);

if (!useSec) {

return;

}

try {

@SuppressWarnings("rawtypes")

Class c = Class.forName("org.apache.hadoop.security.SecurityUtil");

// get method login(Configuration, String, String);

@SuppressWarnings("unchecked")

Method m = c.getMethod("login", Configuration.class, String.class,

String.class);

m.invoke(null, conf,  keytab_KEY, principal_KEY);

LOG.info("successfully authenticated with keytab");

} catch (Exception e) {

LOG.error(

"Flume failed when attempting to authenticate with keytab "

+ SimpleConfiguration.get().getKerberosKeytab()

+ " and principal '"

+ SimpleConfiguration.get().getKerberosPrincipal()

+ "'", e);

return;

}

}

配置

...

<property>

<name>flume.security.kerberos.principal</name>

<description></description>

</property>

<property>

<name>flume.security.kerberos.keytab</name>

<value>resources/flume.keytab</value>

<description></description>

</property>

Sample

//调用例子

public  FileSystem getFileSystem(Configuration conf) {

String KEYFILE_key = "flume.security.kerberos.keytab";

String PRINCIPAL_key = "flume.security.kerberos.principal";

try {

// 尝试用kerberos登录

tryKerberosLogin(conf, KEYFILE_key, PRINCIPAL_key);

// 获取一个hdfs实例

instance = FileSystem.get( conf);

} catch (IOException e) {

LOG.error("try getFileSystem fail()", e);

} catch (URISyntaxException e) {

LOG.error("try getFileSystem fail()", e);

}

}

return instance;

}

二、    通过UserGroupInformation获取代理用户方式

package com.netease.backend.bigdata.wa.jobs;

import java.io.IOException;

import org.apache.hadoop.conf.Configuration;

import org.apache.hadoop.fs.Path;

import org.apache.hadoop.security.UserGroupInformation;

import org.apache.log4j.Logger;

import org.hsqldb.lib.StringUtil;

import com.netease.backend.bigdata.wa.core.ConfKeys;

/**

* 代理用户信息认证工具

*

* @author zhouliangwei

*

*/

public class ProxyUGI {

private static Logger LOG = Logger.getLogger(ProxyUGI.class);

private static UserGroupInformation instance = null;

/**

* 从Configuration中获取代理用户的相关配置,并获取UserGroupInformation

* @return

* @throws IOException

*/

public synchronized static UserGroupInformation getProxyUGI(Configuration conf) {

if (instance != null)

return instance;

try {

String username = conf.get(ConfKeys.MR_USER_NAME, "");

String proxyPrincipal = conf.get(ConfKeys.WDA_PROXY_PRINCIPAL, "");

String proxyKtab = conf.get(ConfKeys.WDA_PROXY_KEYTAB, "");

if (StringUtil.isEmpty(username)

|| StringUtil.isEmpty(proxyPrincipal)

|| StringUtil.isEmpty(proxyKtab)) {

LOG.warn("config properties: ["

+ ConfKeys.MR_USER_NAME

+ ", "

+ ConfKeys.WDA_PROXY_PRINCIPAL

+ ", "

+ ConfKeys.WDA_PROXY_KEYTAB

+ "] in config file './conf/wda-core.xml' must be set!, quite use proxy mechanism");

return null;

}

instance = UserGroupInformation.createProxyUser(username,

UserGroupInformation.loginUserFromKeytabAndReturnUGI(

proxyPrincipal, proxyKtab));

} catch (IOException ex) {

//just ignore;

}

return instance;

}

}

调用方式

...

public static void main(final String[] args) throws Exception {

UserGroupInformation ugi = ProxyUGI.getProxyUGI();

if (ugi != null) {

ugi.doAs(new PrivilegedExceptionAction<EventJobClient>() {

public EventJobClient run() throws Exception {

EventJobClient mr = new EventJobClient();

int code = ToolRunner.run(mr, args);

System.exit(code);

return mr;

}

});

System.exit(1);

} else {

int exitCode = ToolRunner.run(new EventJobClient(), args);

System.exit(exitCode);

}

}

….

相关文章:
【推荐】 质量报告之我见

java程序中获取kerberos登陆hadoop的更多相关文章

  1. java程序中路径问题

    JAVA中获取路径: 1.在web中取得路径:   以工程名为TEST为例: (1)得到包含工程名的当前页面全路径:request.getRequestURI() 结果:/TEST/test.jsp  ...

  2. JAVA文件中获取路径及WEB应用程序获取路径方法

    JAVA文件中获取路径及WEB应用程序获取路径方法 1. 基本概念的理解 `绝对路径`:你应用上的文件或目录在硬盘上真正的路径,如:URL.物理路径 例如: c:/xyz/test.txt代表了tes ...

  3. 在 Java 代码中对 Kerberos 主体进行身份验证

    转载请注明出处:http://www.cnblogs.com/xiaodf/ 本文举例说明如何使用 org.apache.hadoop.security.UserGroupInformation 类在 ...

  4. Java编程中获取键盘输入实现方法及注意事项

    Java编程中获取键盘输入实现方法及注意事项 1. 键盘输入一个数组 package com.wen201807.sort; import java.util.Scanner; public clas ...

  5. 在 Java 8 中获取日期

    前言 前面一篇文章写了<SimpleDateFormat 如何安全的使用?>, 里面介绍了 SimpleDateFormat 如何处理日期/时间,以及如何保证线程安全,及其介绍了在 Jav ...

  6. 在java程序中使用JDBC连接mysql数据库

    在java程序中我们时常会用到数据库中的数据或操作数据库中的数据,如果java程序没有和我们得数据库连接,就不能实现在java程序中直接操作数据库.使用jdbc就能将java程序和数据库连起来,此时我 ...

  7. SQL函数TIMEDIFF在Java程序中使用报错的问题分析

    需求背景 (读者可略过)司机每天从早到晚都会去到不同的自动售货机上补货,而且补货次数和路线等也是因人而异,补货依据是由系统优化并指派.但是目前系统还无法实施有效指挥和优良的补货策略,司机的补货活动因此 ...

  8. Linux上从Java程序中调用C函数

    原则上来说,"100%纯Java"的解决方法是最好的,但有些情况下必须使用本地方法.特别是在以下三种情况: 需要访问Java平台无法访问的系统特性和设备: 通过基准测试,发现Jav ...

  9. 在网页程序或Java程序中调用接口实现短信猫收发短信的解决方案

    方案特点: 在网页程序或Java程序中调用接口实现短信猫收发短信的解决方案,简化软件开发流程,减少各应用系统相同模块的重复开发工作,提高系统稳定性和可靠性. 基于HTTP协议的开发接口 使用特点在网页 ...

随机推荐

  1. js Function 函数

    函数 var abs = function (x) { if (x >= 0) { return x; } else { return -x; } }; 函数体内部的语句在执行时,一旦执行到re ...

  2. 3D文件压缩库——Draco简析

    3D文件压缩库——Draco简析 今年1月份时,google发布了名为“Draco”的3D图形开源压缩库,下载了其代码来看了下,感觉虽然暂时用不到,但还是有前途的,故简单做下分析. 注:Draco 代 ...

  3. 201621123008 《Java程序设计》 第三周学习总结

    1. 本周学习总结 1.1 写出你认为本周学习中比较重要的知识点关键词,如类.对象.封装等 关键词:类,构造函数,方法重载,方法覆盖,封装,继承,多态,类被加载的过程,static,abstract, ...

  4. Ubuntu 网卡多个 IP 地址

    临时添加 IP 地址 首先,让我们找到网卡的 IP 地址.在我的 Ubuntu 15.10 服务器版中,我只使用了一个网卡. 运行下面的命令找到 IP 地址: 复制代码 代码如下: sudo ip a ...

  5. ANT发送邮件需要的3个JAR包

    ANT发送邮件需要的3个JAR包:activation.jar.mail.jar.commons-email-1.2.jar 将这三个jar包放到 $ANT_HOME/LIB 路径下即可 内网发送邮件 ...

  6. system v消息队列demo(未编译)

    #include <stdio.h> #include <string.h> #include <stdlib.h> #include <errno.h> ...

  7. python中的list和array的不同之处 及转换

    python中的list和array的不同之处list是列表,可以通过索引查找数值,但是不能对整个列表进行数值运算 In [96]: b=[1,2] In [97]: b[1]Out[97]: 2In ...

  8. AQS详解(AbstractQueuedSynchronizer)

    Intrinsic VS explicity 1. 不一定保证公平              1. 提供公平和非公平的选择 2. 无                          2. 提供超时的 ...

  9. 企业计划体系的变迁:从ERP到APS再到SCP

    规划是供应链运作的大脑.几十年来,规划从MRP发展到到ERP到APS再到SCP,经历了从部分到全局,从静态到动态,从企业到供应链的发展历程.供应链的效率取决于规划.规划不到位,任何执行都是事后挽救. ...

  10. hdu 4888 最大流慢板

    http://acm.hdu.edu.cn/showproblem.php?pid=4888 添加一个源点与汇点,建图如下: 1. 源点 -> 每一行对应的点,流量限制为该行的和 2. 每一行对 ...