Java 連接Hadoop 之 Kerberos 異常

直接上完整的示例(注意事項(xiàng)見后面):

import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.security.UserGroupInformation;
import sun.security.krb5.PrincipalName;
import sun.security.krb5.internal.ktab.KeyTab;

import java.io.*;

/* // krb5.conf 內(nèi)容
 * [libdefaults]
 *     default_realm = ${REALM}
 *     dns_lookup_realm = false
 *     dns_lookup_kdc = true
 *     allow_weak_crypto = true
 *
 * [realms]
 * ${REALM} = {
 *     default_domain = ${DNSDOMAIN}
 * }
 *
 * [domain_realm]
 *     ${HOSTNAME} = ${REALM}
 */
public class LoginUtil {
    static final String KDC = "xxx";  // kdc 地址

    public static UserGroupInformation login(String keytabPath, String kdc, String krb5Conf) throws IOException {
        String tmpKeytabPath = createTmpKeytabPath(keytabPath);
        PrincipalName oneName = KeyTab.getInstance(tmpKeytabPath).getOneName();

        // krb5.conf 的地址,低版本jdk不需要,高版本的jdk由于安全機(jī)制的變更,需要加這個東西
        // 并且需要加這一行 allow_weak_crypto = true 
        if (StringUtils.isNotBlank(krb5Conf)) {
            System.setProperty("java.security.krb5.conf", krb5Conf);
        }
        System.setProperty("java.security.krb5.realm", oneName.getRealmAsString());
        System.setProperty("java.security.krb5.kdc", kdc);
        System.setProperty("HADOOP_PROXY_USER", oneName.getNameString());

        Configuration conf = new Configuration();
        conf.set("hadoop.security.authentication", "kerberos");
        conf.set("debug", "true");
        UserGroupInformation.setConfiguration(conf);

        UserGroupInformation.loginUserFromKeytab(oneName.getName(), tmpKeytabPath);
        return UserGroupInformation.getLoginUser();
    }

    private static String createTmpKeytabPath(String keytabPath) throws IOException {
        PrincipalName oneName = KeyTab.getInstance(keytabPath).getOneName();
        String tmpDir = System.getProperty("java.io.tmpdir");
        String keytabTmpPath = tmpDir + File.separator + oneName.getNameString();
        File file = new File(keytabTmpPath);
        if (file.exists()) {
            file.delete();
        }
        file.deleteOnExit();
        try (FileInputStream inStream = new FileInputStream(keytabPath);
             FileOutputStream outStream = new FileOutputStream(file)) {
            IOUtils.copy(inStream, outStream);
        }
        return keytabTmpPath;
    }

    public static UserGroupInformation login(String keytabPath) throws IOException {
        return login(keytabPath, KDC, "/etc/krb5.conf");
    }

    public static void main(String[] args) throws Exception {
        LoginUtil.loginAs("recsys_infra");
    }

    public static UserGroupInformation loginAs(String user) throws IOException {
        String keytabPath = String.format("/rcp/hadoop/keytab/%s.keytab", user.toLowerCase());
        return login(keytabPath);
    }
}

題主遇到的問題:

連接Kerberos所有的信息都對,keytab也是合法的,但依舊連不上;報錯 javax.security.auth.login.LoginException: Unable to obtain password from user;詭異的是同樣的代碼,同事的電腦上可以,我的電腦不行;最后定位到是Jdk的問題,低版本jdk的安全策略,跟高版本有差別;比如同事用的1.8.0_291,題主用的1.8.0_401;

解決辦法

使用高版本指定krb5.conf路經(jīng) System.setProperty("java.security.krb5.conf", krb5Conf); 并在文件中設(shè)置 allow_weak_crypto = true;上面完整的例子中已經(jīng)加了這個(最初題主沒有加,踩了這個坑)

Jdk根源在于 sun.security.krb5.internal.crypto.Etype.getBuiltInDefaults 方法的最后一行

    public static int[] getBuiltInDefaults() {
        int var0 = 0;

        try {
            var0 = Cipher.getMaxAllowedKeyLength("AES");
        } catch (Exception var2) {
        }

        int[] var1;
        if (var0 < 256) {
            var1 = BUILTIN_ETYPES_NOAES256;
        } else {
            var1 = BUILTIN_ETYPES;
        }
        //
        //低版本: return !allowWeakCrypto ? Arrays.copyOfRange(var1, 0, var1.length - 2) : var1;
        // 高版本如下,區(qū)別在于一個減2,一個減4;所以使用低版本jdk不用配置 allow_weak_crypto = true 也可以連接成功,高版本不行
        return !allowWeakCrypto ? Arrays.copyOfRange(var1, 0, var1.length - 4) : var1;
    }

參考資料:

20240516-104207.jpg

https://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/krb5_conf.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容