当前位置：移动技术网 > IT编程>数据库>其他数据库 > hdfs/hbase 程序利用Kerberos认证超过ticket_lifetime期限后异常

hdfs/hbase 程序利用Kerberos认证超过ticket_lifetime期限后异常

2020年01月14日 | 移动技术网IT编程 | 我要评论

在线漫画99770,18岁女孩的第一次,黄嘉果

问题描述

业务需要一个长期运行的程序，将上传的文件存放至hdfs，程序启动后，刚开始一切正常，执行一段时间（一般是一天，有的现场是三天），就会出现认证错误，用的jdk是1.8,hadoop-client，对应的版本是2.5.1，为什么强调这个版本号，因为错误的根本原因就在于版本问题

错误日志

caused by: org.ietf.jgss.gssexception: no valid credentials provided (mechanism level: failed to find any kerberos tgt)
    at sun.security.jgss.krb5.krb5initcredential.getinstance(krb5initcredential.java:147) ~[?:1.8.0_212]
    at sun.security.jgss.krb5.krb5mechfactory.getcredentialelement(krb5mechfactory.java:122) ~[?:1.8.0_212]
    at sun.security.jgss.krb5.krb5mechfactory.getmechanismcontext(krb5mechfactory.java:187) ~[?:1.8.0_212]
    at sun.security.jgss.gssmanagerimpl.getmechanismcontext(gssmanagerimpl.java:224) ~[?:1.8.0_212]
    at sun.security.jgss.gsscontextimpl.initseccontext(gsscontextimpl.java:212) ~[?:1.8.0_212]
    at sun.security.jgss.gsscontextimpl.initseccontext(gsscontextimpl.java:179) ~[?:1.8.0_212]
    at com.sun.security.sasl.gsskerb.gsskrb5client.evaluatechallenge(gsskrb5client.java:192) ~[?:1.8.0_212]
    at org.apache.hadoop.security.saslrpcclient.saslconnect(saslrpcclient.java:413) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client$connection.setupsaslconnection(client.java:552) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client$connection.access$1800(client.java:367) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client$connection$2.run(client.java:717) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client$connection$2.run(client.java:713) ~[hadoop-common-2.5.1.jar:?]
    at java.security.accesscontroller.doprivileged(native method) ~[?:1.8.0_212]
    at javax.security.auth.subject.doas(subject.java:422) ~[?:1.8.0_212]
    at org.apache.hadoop.security.usergroupinformation.doas(usergroupinformation.java:1614) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client$connection.setupiostreams(client.java:712) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client$connection.access$2800(client.java:367) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client.getconnection(client.java:1463) ~[hadoop-common-2.5.1.jar:?]
    at org.apache.hadoop.ipc.client.call(client.java:1382) ~[hadoop-common-2.5.1.jar:?]
    ... 61 more

业务程序调用认证方法

public void init() {

    system.setproperty("java.security.krb5.conf", "krb5.conf");
                        
}

public void kerberoslogin() throws ioexception {
        // 已经认证通过
        if ("hdfsuser".concat("@").concat("datahouse.com")
                .equals(usergroupinformation.getcurrentuser().getusername())) {
            usergroupinformation.getcurrentuser().checktgtandreloginfromkeytab();
            return;
        }
        // ksbname 表示用户名 keytabpath表示秘钥存放位置
        usergroupinformation.loginuserfromkeytab("hdfsuser", "/etc/keytab/hdfsuser.keytab");
    
    }

主要思想就是第一次认证通过loginuserfromkeytab进行认证，之后每次请求再调用checktgtandreloginfromkeytab方法判断是否需要重新认证，防止ticket过期
应用在每次获取filesystem时，都会先调用kerberoslogin，之后才获取filesystem

public filesystem getfilesystem() throws ioexception {
        
        try {
            kerberoslogin();
            return filesystem.get(configuration);
        } catch (exception e) {
            logger.error("create hdfs filesystem has error", e);
            throw e;
        }
    }

问题调查过程

根据错误在网上各种搜索，出来的结果和上面的代码大同小异，有的猜测是客户端调用间隔太大，超过了ticket_lifetime的值，建议加一个定时任务来周期性的调用kerberoslogin()方法，虽然我们业务不太可能出现这种情况，还是加上了这个处理，问题依旧，只好开始慢慢调试

usergroupinformation.loginuserfromkeytab的认证过程

usergroupinformation.loginuserfromkeytab 利用传入的user和keytab路径信息，构建一个logincontext，接着调用logincontext的login方法

try {
  login = newlogincontext(hadoopconfiguration.keytab_kerberos_config_name,
        subject, new hadoopconfiguration());
  start = time.now();
  login.login();

。。。

logincontext.login方法依次通过反射调用了登陆模块的login和commit两个方法，调用的主要逻辑在invokepriv方法内

public void login() throws loginexception {

    ...

    try {
        // module invoked in doprivileged
        invokepriv(login_method);
        invokepriv(commit_method);

...

logincontext.invokepriv方法主要在doprivileged内调用invoke方法,invoke方法依次调用登陆模块对应的方法，第一次调用时，还会调用对应的initialize方法

for (int i = moduleindex; i < modulestack.length; i++, moduleindex++) {
        try {

            ...

                // 查找initialize方法
                methods = modulestack[i].module.getclass().getmethods();
                for (mindex = 0; mindex < methods.length; mindex++) {
                    if (methods[mindex].getname().equals(init_method)) {
                        break;
                    }
                }

                object[] initargs = {subject,
                                    callbackhandler,
                                    state,
                                    modulestack[i].entry.getoptions() };
                // 调用 initialize 方法
                methods[mindex].invoke(modulestack[i].module, initargs);
            }

            // 接着查找相应的方法
            for (mindex = 0; mindex < methods.length; mindex++) {
                if (methods[mindex].getname().equals(methodname)) {
                    break;
                }
            }

            // set up the arguments to be passed to the loginmodule method
            object[] args = { };

            // 调用相应的方法

            boolean status = ((boolean)methods[mindex].invoke
                            (modulestack[i].module, args)).booleanvalue();

实际执行时对应的modulestack中有两个loginmodule

hadooploginmodule ：和kerberos认证关系不大，暂且不看
krb5loginmodule ： kerberos认证类，根据第2步logincontext.login中的方法可知，会依次调用这个module中的login和commit两个方法

krb5loginmodule.login方法，就是利用我们提供的user名称和krb5.conf中的配置信息以及keytab信息进行认证。代码就不展示了，主要是调用attemptauthentication进行的处理。

krb5loginmodule.commit方法是要把认证后证书信息存入到subject中，以便后续能重复使用subject进行认证，和本次调查问题有关的代码片段如下

    public boolean commit() throws loginexception {

    set<object> privcredset =  subject.getprivatecredentials();

        。。。


                if (ktab != null) {
                    if (!privcredset.contains(ktab)) {
                        // 把keytab保存下来，再次认证使用
                        privcredset.add(ktab);
                    }
                } else {
                    succeeded = false;
                    throw new loginexception("no key to store");
                }

        。。。

按照这个逻辑，既然keytab保存到subject中了，再次使用usergroupinformation.getcurrentuser().checktgtandreloginfromkeytab()；进行认证时，就可以使用保存的keytab直接认证了，应该是不会出错的，我们看下checktgtandreloginfromkeytab方法
```
 public synchronized void checktgtandreloginfromkeytab() throws ioexception     {
if (!issecurityenabled()
    || user.getauthenticationmethod() != authenticationmethod.kerberos
    || !iskeytab)
  return;
kerberosticket tgt = gettgt();
if (tgt != null && time.now() < getrefreshtime(tgt)) {
  return;
}
reloginfromkeytab();
 }
```
方法逻辑，就是判断如果是用keytab进行的认证，就调用reloginfromkeytab进行认证。但在实际执行时却发现iskeytab的值是false，可代码明明是使用keytab来认证的，怎么是false呢，只能看看iskeytab这个值怎么赋值的了，对应逻辑在usergroupinformation的构造函数里
```
    usergroupinformation(subject subject) {
        ...
        this.iskeytab = !subject.getprivatecredentials(kerberoskey.class).isempty();
        ...
    }
```
至此终于发现问题所在，我们在第5步，认证成功后在subject的privatecredentials中存入的是keytab对象，而这个地方判断的是kerberoskey，这肯定是不一样呀，那就只有一种可能，就是引用jar包的版本问题了。更换hadoop-client的版本号为2.10.0，再查看usergroupinformation对应的构造函数
```
private usergroupinformation(subject subject, final boolean externalkeytab) {
...
  this.iskeytab = kerberosutil.haskerberoskeytab(subject);
...
 }
```
将判断逻辑移到了kerberosutil.haskerberoskeytab方法中

/** * check if the subject contains kerberos keytab related objects. * the kerberos keytab object attached in subject has been changed * from kerberoskey (jdk 7) to keytab (jdk 8) * * * @param subject subject to be checked * @return true if the subject contains kerberos keytab */ public static boolean haskerberoskeytab(subject subject) { return !subject.getprivatecredentials(keytab.class).isempty(); }
可以看到判断对象已经变成了keytab了，并且从注释信息中明确看到在jdk7时使用的是kerberoskey，在jdk8时换成了keytab。

总结，kerberos认证功能虽然强大，实际使用还是有点复杂，特别是和jaas结合后，出了错还是有些难调查，可只要慢慢分析，还是会找到解决方法的，还有一点就是虽然程序出现的错误一样，引起错误的根本原因还是会有所不同，不能只是按照网上说法一改就万事大吉，有时还是需要靠我们自己刨根问底好好研究。

您可能感兴趣的文章:

如对本文有疑问，请在下面进行留言讨论，广大热心网友会与你互动！！点击进行留言回复

去 HBase，Kylin on Parquet 性能表现如何？

Kylin on HBase 方案经过长时间的发展已经比较成熟，但也存在着局限性，因此，Kyligence 推出了 Kylin on Parquet 方... [阅读全文]
如何找到Hive提交的SQL相对应的Yarn程序的applicationId

最近的工作是利用Hive做数据仓库的ETL转换，大致方式是将ETL转换逻辑写在一个hsql文件中，脚本当中都是简单的SQL语句，不包含判断、循环等存储过... [阅读全文]
HBase Filter 过滤器之RowFilter详解

前言：本文详细介绍了HBase RowFilter过滤器Java&Shell API的使用，并贴出了相关示例代码以供参考。RowFilter 基于行键... [阅读全文]
字符串相似度处理函数

oracle里面查比如存储过程里面与表SALES有关jobs: SELECT * FROM (SELECT a.name,upper(b.what)AS... [阅读全文]
如何在 HBase Shell 命令行正常查看十六进制编码的中文？哈哈~

今天比较开心，只想哈哈~哈哈哈~ 啥也不多说了，直接看示例吧！绝对比我口才好~ 哈哈！Get到了吗？好意思不帮我分享嘛~哈哈~ 转载请注明出处！欢迎关注... [阅读全文]
一小时搭建实时数据分析平台

实时数据分析门槛较高，我们如何用极少的开发工作就完成实时数据平台的搭建，做出炫酷的图表呢？如何快速的搭建实时数据分析平台，首先我们需要实时数据的接入端... [阅读全文]
Kylin on Parquet 介绍和快速上手

Apache Kylin on Apache HBase 方案经过长时间的发展已经比较成熟，但是存在着一定的局限性。因此，Kyligence 推出了 K... [阅读全文]
HBase Filter 过滤器之 Comparator 原理及源码学习

前言：上篇文章 "HBase Filter 过滤器概述" 对HBase过滤器的组成及其家谱进行简单介绍，本篇文章主要对HBase过滤器之比较器作一个补... [阅读全文]
hadoop 伪分布配置

配置 Hadoop 伪分布式任务配置说明: VMware 15 Centos 6.5 java -jdk 1.8 hadoop-2.6.0-cdh5.... [阅读全文]
安装 Hadoop 2.9.1 on Windows 10 64 bit (最全步骤整理)

1. Java 下载Java 1.8 64位版本https://java.com/en/download/. 如果不是64位java，在启动资源节点管理... [阅读全文]