开启 Kerberos 安全认证的大数据环境中如何正确指定 HS2 的 jdbc url 地址?

最新推荐文章于 2024-01-02 19:08:32 发布
原创 最新推荐文章于 2024-01-02 19:08:32 发布 · 740 阅读 · 0
标签
#安全 #大数据
本文详细介绍了在启用Kerberos安全认证的大数据环境中,如何正确配置HS2的jdbcurl地址以及在Kerberos认证模式下可能出现的连接问题,包括错误原因和解决方案。

开启 Kerberos 安全认证的大数据环境中如何正确指定 HS2 的 jdbc url 地址?

1 Kerberos 环境中 HS2 的认证方式概述

大家知道,HIVE 的认证方式可以通过参数 hive.server2.authentication 在服务端进行统一配置,而在开启了 Kerberos 安全认证的大数据环境中:

  • 我们可以配置 hive.server2.authentication=kerberos,代表配置 HS2 使用 Kerberos安全认证;
  • 我们可以配置 hive.server2.authentication=ldap,代表配置 HS2 使用 Kerberos和LDAP的双重认证。

更多详细信息,可以查看前期博文《大数据生态安全框架的实现原理与最佳实践》。

2 Kerberos 认证模式下HS2 的 jdbc url 地址格式

在 HS2 的 Kerberos 认证模式下(hive.server2.authentication=kerberos),HS2 的 jdbc url 地址格式为 jdbc:hive2://:/;principal=<Server_Principal_of_HiveServer2>,其中 hs2地址部分的host可以指定为具体域名或Ip,principal部分的 Server_Principal_of_HiveServer2可以指定为具体域名,具体IP或特殊字符“_HOST”,所以所有排列组合下的可能值如下:

  • beeline -u “jdbc:hive2://uf30-1:10000/default;principal=hive/uf30-1@xxx.com”;
  • beeline -u jdbc:hive2://100.116.3.228:10005/default;principal=hive/192.168.71.70@xxx.com";
  • beeline -u “jdbc:hive2://uf30-1:10000/default;principal=hive/_HOST@xxx.com”;
  • beeline -u “jdbc:hive2://192.168.71.70:10000/default;principal=hive/uf30-1@xxx.com”;
  • beeline -u “jdbc:hive2://100.116.3.228:10005/default;principal=hive/192.168.71.70@xxx.com”;
  • beeline -u “jdbc:hive2://100.116.3.228:10005/default;principal=hive/_HOST@xxx.com”;

3 Kerberos 认证模式下因 HS2 jdbc url 地址格式使用错误带来的常见问题

在 Kerberos 认证模式下,HS2 jdbc url 地址格式中 hs2地址部分的host可以指定为具体域名或具体IP,principal部分的 Server_Principal_of_HiveServer2可以指定为具体域名,具体IP或特殊字符“_HOST”,所以所有排列组合下的可能值共有6种;在具体使用过程中,因为各个环境中 kerberos kdc 中配置的差异,很容易出现连接失败问题,某次连接失败时详细的报错日志如下:

Connecting to jdbc:hive2://192.168.71.70:10000/default;principal=hive/_HOST@CDH.COM
23/05/04 15:06:01 [main]: ERROR transport.TSaslTransport: SASL negotiation failure
javax.security.sasl.SaslException: GSS initiate failed
        at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:211) ~[?:1.8.0_181]
        at org.apache.thrift.transport.TSaslClientTransport.handleSaslStartMessage(TSaslClientTransport.java:94) ~[hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
        at org.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:271) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
        at org.apache.thrift.transport.TSaslClientTransport.open(TSaslClientTransport.java:37) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
        at org.apache.hadoop.hive.thrift.client.TUGIAssumingTransport$1.run(TUGIAssumingTransport.java:52) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
        at org.apache.hadoop.hive.thrift.client.TUGIAssumingTransport$1.run(TUGIAssumingTransport.java:49) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
        at java.security.AccessController.doPrivileged(Native Method) ~[?:1.8.0_181]
        at javax.security.auth.Subject.doAs(Subject.java:422) [?:1.8.0_181]
        at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1875) [hadoop-common-3.0.0-cdh6.3.2.jar:?]
        at org.apache.hadoop.hive.thrift.client.TUGIAssumingTransport.open(TUGIAssumingTransport.java:49) [hive-exec-2.1.1-cdh6.3.2.jar:2.1.1-cdh6.3.2]
        at org.apache.hive.jdbc.HiveConnection.openTransport(HiveConnection.java:229
最低0.47元/天 解锁文章
四、openldap整合hive
dockj的博客
12-01 2515
一、配置整合hive用户 适合cdh5.7.6+的版本的hive,cdh5.5.0版本的hive会出现如下问题: 2018-08-23 13:59:48,304 ERROR [HiveServer2-Handler-Pool: Thread-29]: transport.TSaslTransport (TSaslTransport.java:open(315)) - SASL negotiati...
CDH6.3.2Kerberos安全认证
ytp552200ytp的博客
11-12 2450
问题导读: 1、Kerberos认证原理是什么? 2Kerberos如何部署? 3、CDH集群如何启用Kerberos?4、如何在Kerberos安全环境使用HFDS? 01 PART Kerberos简介 Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、...
基于0.14.0版本配置HiveServer2
Hello World
05-01 4512
配置hiveserver2,基于kerberos认证,使用0.14.0版本,记录中间遇到的问题和访问方式
troubleshooting-Kerberos 鉴权异常
dianjun2454的博客
09-23 3500
ERROR transport.TSaslTransport: SASL negotiation failurejavax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to f...
kerberos认证_Step by Step 实现基于 Cloudera 5.8.2 的企业级安全大数据平台 Kerberos的整合...
weixin_39856055的博客
11-20 293
大数据技术与架构点击右侧关注,大数据开发领域最强公众号!暴走大数据点击右侧关注,暴走大数据Kerberos简介之前非常担心的一件事就是如果有人拿到了hdfs超级管理员帐号,直接把数据rm -rf怎么办?有了Kerberos,就可以轻松防止这样的事情发生。Kerberos 协议实现了比“质询-响应”模式协议更高的安全性:第一,在身份验证过程中,所有的数据都使用不同的密码进行加密,避免了相...
HBase 实战中遇到的坑
热门推荐
刘莹慧的专栏
01-20 1万+
问题一 : HTable.backgroundFlushCommits; HTable.flushCommits; HTable.close; 解决方案 ,对同一个表进行的操作 htable = new HTable(config, "CRM_MEMBER_ALL");中的config 要每次都new一个新的出来,不能用同一个,不然会报错! 问题二 :
hive jdbc/metastore客户端方式连接开启kerberos的hive集群api
qq_24186017的博客
07-29 2064
pom依赖 <dependency> <groupId>org.apache.hive</groupId> <artifactId>hive-jdbc</artifactId> <version>3.1.2</version> </dependency> <dependency> <groupId>org.apache.hive</group
Hbase JAVA API 编程
SimpleSimpleSimples的博客
05-04 597
1.hbase的API编程 1.1进行kerberos认证获取连接 /** * 进行kerberos认证获取连接 * @return * @throws IOException * @throws InterruptedException */ private static Connection getConnection() throws IOException, ...
为CDH 5.7集群添加Kerberos身份验证及Sentry权限控制
weixin_30340819的博客
10-17 896
转载请注明出处:http://www.cnblogs.com/xiaodf/ 4. 为CDH 5集群添加Kerberos身份验证 4.1 安装sentry1、点击“操作”,“添加服务”;2、选择sentry,并“继续”; 3、选择一组依赖关系 4、确认新服务的主机分配 5、配置存储数据库;  在mysql中创建对应用户和数据库: mysql>create database...
HBase thrift服务
weixin_44943389的博客
10-20 970
HBase Thrift服务允许你使用Thrift接口与HBase进行通信。你可以使用Thrift客户端来测试HBase Thrift服务。例如,在Python中,你可以使用。在运行Thrift服务之前,确保HBase已成功安装并启动。请确保你的HBase已正确配置并且Thrift服务已经启动。这将启动HBase Thrift服务。库或者直接使用Thrift接口。在HBase的安装目录中,找到。请根据需要进行相应的配置。这将停止Thrift服务。请注意,端口号需要与你在。脚本来启动HBase。
启用Kerberos的Hive操作失误解决
邢为栋
05-12 7617
启用了kerberos,需要使用hive主体权限进行授权,但是开始没找到hive主体的keytab,于是决定使用kadmin.local的ktadd命令为hive主体创建一个keytab,创建之后,可以通过keytab使用hive主体权限了,通过beeline连接hive,但是报错GSS initiate failed,突然心一凉,直觉告诉我,玩脱了。。。 查看hive服务,出现告警,查看metastore日志,报错如下: 2020-05-09 15:43:34,632 ERROR org.apache.t
presto基于kerberos访问hive的安装
qq_29248935的博客
08-08 1515
presto基于kerberos访问hive的安装 注意事项: 1.安装的presto0.223最新版是需要jdk1.8的,但是hadoop的jdk是1.7.所以新建presto的用户。安装jdk1.8到presto用户环境下。让presto在presto用户下执行。 2.presto的用户组需要添加hadoop,否则找不到presto服务的keytab文件。 3.ncmp安装hive_clien...
在Cloudera CDH 5.4.8上启用Kerberos (Ubuntu 14.04 LTS环境)
F1321368的博客
12-02 2536
在Cloudera CDH 5.4.8上启用Kerberos (Ubuntu 14.04 LTS环境)
Thrift方式连接hiveServer2+Kerberos
都是浮云
12-09 4726
最近在做一个大数据查询平台,后端引擎有部分用了hive,通过thrift的方式连接hiveServer2,由于集群加了kerberos,所以实现thrift连接hiveServer2的时候需要加上kerberos认证。网上查了很多文章,写的thrift连接hive都没有kerberos,分享一下,以供需要通过thrift连接hiveService2并需要开启Kerberos认证的同学一个参考,以便...
Hue集成Hbase
大数据梦想家
12-11 5958
        本篇博客,小菌为大家带来的是Hue集成Hbase的分享。          1.修改hbase配置 在hbase-site.xml配置文件中的添加如下内容,开启hbase thrift服务。 修改完成之后scp给其他机器上h...
Hue 查询kerberos HBase: failed authentication to hbase
tom_fans的博客
03-17 965
CDH集群并开启kerberos,最近要打开Hue查询HBASE的功能,打开之后发现HUE右上角报错:failed authentication to hbase. 查询hue管理界面检查配置发现hbase browser错误之类的。 参考网上,基本没有任何一篇文章给出完全正确或者清晰的答案,都是涉及了一部分。 因此做个记录: 通过CM修改配置如下: 1.hbase.regionse...
Kerberos与各大组件的集成
Swordfall的博客
07-23 893
1. 概述   Kerberos可以与CDH集成,CDH里面可以管理与hdfs、yarn、hbase、yarn、kafka等相关组件的kerberos凭证。但当我们不使用CDH的时候,也需要了解hdfs、yarn、hbase和kafka是如何配置关联kerberos的。   该文是建立在Kerberos基本原理、安装部署及用法博客的前提上的,需要首先了解Kerberos的基本原理、安装用...
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问
qq_32020645的博客
06-22 5085
技术连载系列,前面内容请参考前面连载9内容:​​​​​​​Hive底层数据存储在HDFS中,HQL执行默认会转换成MR执行在Yarn中,当HDFS配置了Kerberos安全认证时,只对HDFS进行认证是不够的,因为Hive作为数据仓库基础架构也需要访问HDFS上的数据。因此,为了确保整个大数据环境安全性,Hive也需要配置Kerberos安全认证,这样可以控制对Hive和底层HDFS数据的访问权限,防止未经授权的访问和操作,确保数据的安全性。目前对HDFS进行了Kerberos安全认证后,在Hive。
【kettle】pdi/data-integration 集成kerberos认证连接hdfs、hive或spark thriftserver
lisacumt的专栏
01-02 2142
pdi/data-integration 集成kerberos认证连接hdfs、hive或spark thriftserver。含hadoop conf和kerberos认证工具类。
大数据平台运维之Hbase
KamRoseLee的博客
05-09 1720
Hbase16.启动大数据平台的Hbase数据库,其中要求使用master节点的RegionServer。在Linux Shell中启动Hbase shell,查看HBase的版本信息。将以上操作命令(相关数据库命令语言请全部使用小写格式)输出结果为。[root@master ~]# hbase shellSLF4J: Class path contains multiple SLF4J bind...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明哥的IT随笔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值