关于kerberos使用keytab安全认证连接hive票据过期的问题及解决方法。

最新推荐文章于 2025-05-11 14:46:22 发布
置顶 最新推荐文章于 2025-05-11 14:46:22 发布
阅读量1.7w 收藏 17
点赞数 5
CC 4.0 BY-SA版权
分类专栏: hive 文章标签: No valid credentials provided kerberos 票据过期 kerberos保持长连接 kerberos 连接hive HiveStreaming
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43172032/article/details/92986771

关于kerberos使用keytab安全认证连接hive票据过期的问题及解决方法

问题描述

本人在使用HiveStreaming的过程中,使用kerberos keytab进行安全验证,程序会保持长期连接。(hive jdbc 连接也要同样的问题)
登录主要代码:

LoginContext lc = new LoginContext(clientName, new TextCallbackHandler());
lc.login();
UserGroupInformation.loginUserFromSubject(lc.getSubject());

问题:
根据我们的kerberos设置,我们的票据Kerberos tgt 生命周期为24小时,到了24小时后,程序会报错连接失败。
报错信息:


Caused by: org.ietf.jgss.GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)
	at sun.security.jgss.krb5.Krb5InitCredential.getInstance(Krb5InitCredential.java:147)
	at sun.security.jgss.krb5.Krb5MechFactory.getCredentialElement(Krb5MechFactory.java:122)
	at sun.security.jgss.krb5.Krb5MechFactory.getMechanismContext(Krb5MechFactory.java:187)
	at sun.security.jgss.GSSManagerImpl.getMechanismContext(GSSManagerImpl.java:224)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:212)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)
	... 53 common frames omitted

无票据可用。

解决方法

跟踪HiveStreaming连接的源码关键调用过程

  //代码1   自己写的代码   创建连接
  connection = HiveStreamingConnection.newBuilder()
                    .withDatabase(database)
                    .withTable(tableName)
                    .withAgentInfo(tableName + "_hiveStreaming-agent")
                    .withRecordWriter(writer)
                    .withHiveConf(hiveConf)
                    .connect();
  //代码2  源码   创建hive客户端
  this.msClient = getMetaStoreClient(this.conf, this.metastoreUri,
最低0.47元/天 解锁文章

200万优质内容无限畅学
java通过Kerberos认证方式连接hive
weixin_44144092的博客
05-05 3204
在数据源管理功能中,需要适配mysql、postgresql、hive等数据源。mysql和postgresql连接方式一致,只需要驱动和jdbcurl即可,而hive背后是大数据集群,多采用Kerberos的方式保护集群环境,要想与大数据集群正常交互,需要经过kdc认证获取ticket,因此获取hive连接前需要先通过Kerberos认证。
keytab过期_Spark submit规范与Kerberos 24小时过期问题解决办法
weixin_39932181的博客
01-03 1541
1.环境下spark相关作业的目录结构a)根目录: /opt/maintainb)二级目录包含 jars 、scripts 、logs c)三级目录: 项目名称,也就是项目的英文名称或简称d)文件: 不同二级目录下三级目录下的文件含义jars: 提交的jar包,样例:xxx-dservice-1.0.0.jarscripts: 提交脚本,样例:spark_submit_model.shlogs: ...
Windowns 环境 Dbeaver 配置连接 kerberos 环境 hive
最新发布
qq_55968769的博客
05-11 856
下载 MIT Kerberos FRO Windows安装 MIT Kerberos FRO Windows一路next配置 hosts配置主机 hosts(新加 hadoop 集群修改。
Java登录Kerberos认证过期问题
huangyueranbbc的博客
11-30 7626
问题: 最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期到时查询Hbase失败的问题。 Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。 spark2-submit \ --master yarn \ --deploy-mode cluster \ --num-exec.
设置keytab票据过期时间
前方的路在刚开始
02-10 169
设置过期时间,注意不能设置过去的时间。然后找到你要修改的票据。首先进入kdc的服务。
Zeppelin0.7.0配置Hive Jdbc interpreter Kerberos 认证方式 登录过期问题解决
Levin的技术工厂
05-16 1378
前两周在公司的zeppelin上配置了一个interpreter用来解决在zeppelin中直接查询hive,便于测试同学的使用,还有结果的查看。(毕竟在beeline中查起来挺麻烦的)配置过后我只是简单使用一下就没有理会,这两天有同学反馈在使用一段时间会报一个错误 java.sql.SQLException: Could not open client transport with JDBC U...
java kerberos认证 过期_Kerberos安装使用
weixin_39531635的博客
12-25 602
1、安装方式一:【手动编译安装】# 1. 下载界面https://web.mit.edu/kerberos/dist/index.html# 2. 选择下载版本,如:1.17https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz# 3. 解压tar zxvf krb5-1.17.tar.gz# 3. 编译cd krb5-1.17/s...
kerberos】hadoop集群使用keytab认证的逻辑
lisacumt的专栏
03-08 1988
hadoop集群使用keytab认证的逻辑
kerberos的凭证无限过期问题
qq_24439569的博客
12-07 1291
kerberos的凭证无限过期问题
kerberos: Clock skew too great (37) - PROCESS_TGS
玉汝于成
06-07 730
时钟同步问题:所有参与 Kerberos 验证系统的主机都必须在指定的最长时间(称为时钟相位差)内同步其内部时钟。针对这一要求,需要进行另一种 Kerberos 安全检查。如果任意两台参与主机之间的时间偏差超过了时钟相位差,则客户机请求会被拒绝。时钟相位差的最大缺省值为 300 秒(5 分钟)。出于安全原因,不要将时钟相位差增大到超过 300 秒。
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
在本文中,我们将深入探讨如何使用Python 3.6.5版本通过Kerberos认证来连接Hive和HDFS。Kerberos是一种广泛使用的网络身份验证协议,它为不安全的网络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...
kerberos认证hive连接代码
12-05
本篇将详细介绍如何在Spring MVC框架中配置Kerberos认证,并通过Java代码与Hive建立安全连接。 首先,`Kerberos认证`是一种基于票据的认证机制,它通过三向握手确保了通信双方的身份,并防止中间人攻击。在Hive中...
DBeaver连接Kerberos认证下的hive
fracly的博客
12-09 5986
DBeaver连接Kerberos认证模式的hive背景介绍环境介绍工作机环境配置1、配置本地hosts2、安装Kerberos客户端3、配置window环境(变量和配置文件)配置krb5.ini配置环境变量DBeaver 配置DBeaver安装DBeaver配置修改DBeaver 连接配置修改1、下载驱动 背景介绍 DBeaver是一款功能强大丰富的数据源连接工具,可以连接MySQL、hive等常见的各种数据源,通过DBeaver连接未开启Kerberos认证的hive比较简单。本文主要介绍如果连接开启了
flink学习之sql-client之踩坑记录
cclovezbf的博客
11-16 7553
注意当你使用这个模式运行一个流式查询的时候,Flink 会将结果持续的打印在当前的屏幕之上。如果这个流式查询的输入是有限的数据集, 那么Flink在处理完所有的数据之后,会自动的停止作业,同时屏幕上的打印也会相应的停止。--也可以不用hadoop 其实这里的时候就该反应过来,如果写过flink table api就知道连接hive的时候也是这两个参数。记住我们是搞flink遇到的这个问题,那么这个类和flink肯定相关,找到一个我们引入flinkjar最多的工程。网上的千篇一律是抄袭的。
java kerberos tgt_彻底解决 Mechanism level: Failed to find any Kerberos tgt
weixin_34460380的博客
02-23 2859
错误描述Secure Client Cannot Connect ([Caused by GSSException: No valid credentials provided(Mechanism level: Failed to find any Kerberos tgt)])症状如果不是klist keytab有效期的问题,却还报这个错如果是常驻型的服务,例如 nohup ,tomcat等等服...
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
mlwise的专栏
02-18 2112
问题描述: Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN [email protected], renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, m...
解决org.ietf.jgss.GSSException异常的正确解决方法,亲测有效!!!
小明的Java问道之路
06-26 1452
解决org.ietf.jgss.GSSException异常的正确解决方法,亲测有效!!!
HiveStreaming (3.0.0)
weixin_38424594的博客
11-18 768
背景介绍 从 Hive 3.0.0 版本开始,不推荐使用流式数据提取,该 API 适用于连续生成数据的流 Client 端 Hive 流 API 的类和接口部分大致分为两类。 第一组提供对连接和事务 Management 的支持,而第二组提供 I/O 支持。 事务由 MetastoreManagement。直接对表定义的目标文件系统(HDFS,S3A 等)执行写操作。 流式传输到未分区表,具有静态分区的分区表和具有动态分区的分区表均受支持. 相对于之前的 重要更改:
【java】No valid credentials provided (Mechanism level: Failed to find any Kerberos Ticket)
九师兄
08-05 3156
也是一个很常见的问题,有可能也是连接信息没写全,需要几个site.xml文件,如果这些都有了还不行,可能是因为keytab里包含多个不同的principal,可以在代码加上。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值