mac m1上使用Kerberos访问远程linux hadoop集群的正确姿势

原创 于 2025-08-21 18:25:53 发布 · 214 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#macos #linux #hadoop

问题描述

测试环境 Linux 上部署了3节点的Hadoop集群,并开启了 Kerberos 认证

本机 mac m1电脑,拷贝了测试 linux hadoop部署包,然后客户端命令访问HDFS失败

前置配置

mac已经配置好/etc/krb5.conf ,但在执行hadoop命令时报错:

hadoop fs -ls /tmp

异常如下:

Caused by: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:211)
	at org.apache.hadoop.security.SaslRpcClient.saslConnect(SaslRpcClient.java:406)
	at org.apache.hadoop.ipc.Client$Connection.setupSaslConnection(Client.java:614)
	at org.apache.hadoop.ipc.Client$Connection.access$2200(Client.java:410)
	at org.apache.hadoop.ipc.Client$Connection$2.run(Client.java:798)
	at org.apache.hadoop.ipc.Client$Connection$2.run(Client.java:794)
	at java.security.AccessController.doPrivileged(Native Method)
	at javax.security.auth.Subject.doAs(Subject.java:422)
	at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1844)
	at org.apache.hadoop.ipc.Client$Connection.setupIOstreams(Client.java:793)
	... 36 more
Caused by: GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)
	at sun.security.jgss.krb5.Krb5InitCredential.getInstance(Krb5InitCredential.java:162)
	at sun.security.jgss.krb5.Krb5MechFactory.getCredentialElement(Krb5MechFactory.java:122)
	at sun.security.jgss.krb5.Krb5MechFactory.getMechanismContext(Krb5MechFactory.java:189)
	at sun.security.jgss.GSSManagerImpl.getMechanismContext(GSSManagerImpl.java:224)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:212)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)
	... 45 more

通过 klist命令,可以查看mac票据:

(base) ➜  bigdata klist
Ticket cache: KCM:501
Default principal: my@HADOOP.COM

Valid starting       Expires              Service principal
21  8 2025 18:02:54  22  8 2025 04:02:54  krbtgt/HADOOP.COM@HADOOP.COM
	renew until 28  8 2025 18:02:54

对比 linux上的 klist看下:

Ticket cache: FILE:/tmp/krb5cc_5385
Default principal: my@HADOOP.COM

Valid starting       Expires              Service principal
08/21/2025 18:17:01  08/22/2025 04:17:01  krbtgt/HADOOP.COM@HADOOP.COM
	renew until 08/28/2025 18:17:00

注意:第一行的 cache 类型不一致

问题原因

Mac上的 Ticket cache: KCM:501 这一行, Hadoop 系统不认,

KCM (Kerberos Credential Manager) 是 macOS 系统中使用的一种现代、安全的凭证缓存机制。

问题在于,Hadoop 使用的 Java GSSAPI 库, 默认不认识 KCM 这种缓存类型。它默认会去一个叫做 FILE:/tmp/krb5cc_... 的文件里寻找票据。两者访问方式不一致,所以就造成了 Failed to find any Kerberos tgt

修复方法

使用如下变量强制统一两者的访问路径: export KRB5CCNAME=/tmp/krb5cc_$(id -u),然后重新生成kinit就行了:



 # 清理旧票据
kdestroy -A

export KRB5CCNAME=/tmp/krb5cc_$(id -u)

# 重新获取票据
kinit -kt /Users/tom/bigdata/my.keytab my

#查看票据
klist

# 再次尝试访问 HDFS
hadoop fs -ls /

上面的脚本跑完,mac上的ticket cache和linux上就一致,问题也就解决了

Ticket cache: FILE:/tmp/krb5cc_501
Default principal: my@HADOOP.COM

Valid starting       Expires              Service principal
21  8 2025 18:23:10  22  8 2025 04:23:10  krbtgt/HADOOP.COM@HADOOP.COM
	renew until 28  8 2025 18:23:09
5、Hadoop V1 安装、配置与使用指南
l1k9j8h7g6的博客
07-10 11
本博客详细介绍了 Hadoop V1 的安装、配置与使用方法,包括单机节点测试、集群设置、运行 Map Reduce 作业检查及用户界面监控等内容。同时提供了常见问题的解决方案,并给出性能优化和安全注意事项,帮助用户顺利搭建和使用 Hadoop 集群进行大数据处理。
HBase原理与代码实例讲解
AI天才研究院
05-28 416
HBase是一个分布式、可伸缩、面向列的开源数据库,它建立在Hadoop文件系统之上,可以为海量数据提供随机、实时的读写访问。HBase最初是作为Hadoop项目的一部分进行开发的,后来由Apache软件基金会作为顶级项目独立出来。HBase的设计灵感来自于Google的BigTable论文,它采用了类似的数据模型。HBase非常适合于需要在非结构化的稀疏数据上进行快速查询的场景,例如网络日志分析、内容传递网络等。
hadoop集群搭建教程
flye的专栏
11-23 3075
6台主机规划hadoop集群,安装hadoop,yarn,hbase,hue等,详细步骤,敬请审阅。
python连接hadoop,使用python模块impyla连接到Kerberized hadoop集群
weixin_31327207的博客
12-14 152
I am using impyla module to connect to kerberized hadoop cluster. I want to accesshiveserver2/hive but I was getting the below error:test_conn.pyfrom impala.dbapi import connectimport osconnection_str...
hadoop和hive配置kerbros安全认证
Aidon博客
04-30 2730
需求: 对新建hadoop集群和hive集群的安全认证安装部署。 版本: centos 7.7 hadoop 2.7.6 hive 1.2.2 部署规划: ip 主机 服务 192.168.216.111 hadoop01 namenode、resourcemanager、datanode、nodemanager、hive、KDC服务 192.168.216.112 ha...
Mac配置单机版:Hadoop和Spark环境
辉哥大数据
04-27 2891
目录 1、需求 2、软件 3、参考文档和配置下载 4、配置过程 1)环境变量 2)Zookeeper配置文件解说 3)hadoop配置文件解说 4)Hive配置文件解说 5)Hbase配置文件解说 6)Spark和Scala安装 5、界面展示 —————————————————————————————— 1、需求 搭建..
Hadoop高可用集群(HA+JournalNode+zookeeper)
06-29 1万+
体搭建过程:http://blog.csdn.net/dr_guo/article/details/50975851一、一些名词介绍HA(High Available), 高可用性集群,是保证业务连续性的有效解决方案,一般有两个或两个以上的节点,且分为活动节点及备用节点。ZKFC(ZooKeeper FailoverController)ZooKeeper故障切换控制器二、为什么需要HA和Fede...
CDH6.3.2 配置LDAP+kerberos
h952520296的博客
04-08 2763
本文主要记录 cdhhadoop集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.201 slave1 kerberos client、ldap client 192.168.0.202 s..
Hadoop-HDFS-S3】HDFS 和存储对象 S3 的对比
weixin_53543905的博客
01-03 2223
虽然 Apache Hadoop 以前都是使用 HDFS 的,但是当 Hadoop 的文件系统的需求产生时候也能使用 S3。之前的工作经历中的大数据集群存储都是用HDFS,当前工作接触到对象存储S3,在实践中比较两者的不同之处。
CDH配置Kerberos和Sentry详解
h952520296的博客
10-19 2442
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。1.kinit认证时密码输入正确却提示密码错误。
cdh5.7.1如何开启kerberos
蘑菇丁的专栏
12-18 5912
最近因为项目需要,需要对用户权限做限制,最终选择了kerberos+sentry+hue模式来管理用户,但是这个kerberos实在搞得我头大的不行,在网上找各种资料,怎么配置都不行,后来索性静下心来研究官方文档,在经历3天的痛苦折腾之后,终于实现了成功启动kerberos,为了各位能少走弯路我把我的经验写出来,供有缘人借鉴并少走弯路。 其实自己走了一遍后,真的是很简单,只是我自己当初想的太复杂
Ranger与Flume生态系统的集成:探讨Ranger如何与Flume生态系统进行集成
最新发布
AI天才研究院
07-28 361
Ranger与Flume生态系统的集成:探讨Ranger如何与Flume生态系统进行集成 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词: Hadoop
理解数据仓库中星型模型和雪花模型
热门推荐
三劫散仙
07-06 3万+
在数据仓库的建设中,一般都会围绕着星型模型和雪花模型来设计表关系或者结构。下面我们先来理解这两种模型的概念。 (一)星型模型图示如下: 星型模是一种多维的数据关系,它由一个事实表和一组维表组成。每个维表都有一个维作为主键,所有这些维的主键组合成事实表的主键。强调的是对维度进行预处理,将多个维度集合到一个事实表,形成一个宽表。这也是我们在使用hive时,经常会看到一些大宽表的原因
如何收集项目日志统一发送到kafka中?
三劫散仙
02-07 1万+
上一篇(http://qindongliang.iteye.com/blog/2354381 )写了收集sparkstreaming的日志进入kafka便于后续收集到es中快速统计分析,今天就再写一篇如何在普通应用程序实时收集日志,上一篇写的毕竟是分布式环境下的操作,有一定的特殊性,如MapReduce,Spark运行的日志和普通项目的日志是不太一样的。 所谓的普通程序就是web项目的或者非
Storm的wordcount实战示例
三劫散仙
09-18 1万+
有关strom的具体介绍,本文不再过多叙述,不了解的朋友可参考之前的文章  http://qindongliang.iteye.com/category/361820  本文主要以一个简单的wordcount例子,来了解下storm应用程序的开发,虽然只是一个简单的例子  但麻雀虽小,五脏俱全,主要涉及的内容:  (1)wordcount的拓扑定义  (2)spout的使用  (3
如何使用Spark大规模并行构建索引
三劫散仙
02-01 4809
使用Spark构建索引非常简单,因为spark提供了更高级的抽象rdd分布式弹性数据集,相比以前的使用Hadoop的MapReduce来构建大规模索引,Spark具有更灵活的api操作,性能更高,语法更简洁等一系列优点。  先看下,整体的拓扑图:  然后,再来看下,使用scala写的spark程序:  Java代码   package com
Spark历险记之编译和远程任务提交
三劫散仙
08-05 4511
Spark简介 Spark是加州大学伯克利分校AMP实验室(Algorithms, Machines, and People Lab)开发通用内存并行计算框架。Spark在2013年6月进入Apache成为孵化项目,8个月后成为Apache顶级项目,速度之快足见过人之处,Spark以其先进的设计理念,迅速成为社区的热门项目,围绕着Spark推出了Spark SQL、Spark Strea
Apache Kylin的入门安装
三劫散仙
06-27 3782
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。 从官网的介绍来看Kylin是一个OLAP的数据查询引擎,其特点就是快。公司最近准备引入Kylin做数据分析,原来也听说过 但一直没有接触,现在正好可以验证下Kylin是否是传
一次bug死磕经历之Hbase堆内存小导致regionserver频繁挂掉
三劫散仙
01-06 3031
环境如下: Centos6.5 Apache Hadoop2.7.1 Apache Hbase0.98.12 Apache Zookeeper3.4.6 JDK1.7 Ant1.9.5 Maven3.0.5 最近在测Hbase的压缩,Hadoop安装了lzo和snappy,插入50条文本数据,每条数据大约4M,来看他们的压缩率对比, 然后在测的过程中,发现用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值