2. 程式人生 > >java程式中獲取kerberos登陸hadoop

java程式中獲取kerberos登陸hadoop

阿新 發佈:2018-12-14

本文由作者周樑偉授權網易雲社群釋出。


一般我們在使用kbs登陸hadoop服務時都直接在shell中呼叫kinit命令來獲取憑證,這種方式簡單直接,只要獲取一次憑證之後都可以在該會話過程中重複訪問。但是這種方式一個明顯的問題就是如果在本次shell中會間隔呼叫不同的java程式,而這些程式需要訪問不同許可權的問題,需要在訪問前呼叫各自的ktab檔案獲得授權。這中場景下情況會變得非常複雜,這時如果把kbs認證的過程移到java程式中就會簡單很多,每個java程式中獲取各自的憑證,及時多個程序同時執行也不會產生相互影響。我這裡介紹兩種java中獲取kbs憑證的方法,分別使用 org.apache.hadoop.security.SecurityUtil 和 org.apache.hadoop.security.UserGroupInformation 兩個類實現。

一、    使用ktab檔案簡單登入方式

登入操作函式

/**

      * 嘗試使用kerberos認證登入hfs

      *@params

      *       conf: 配置,其中帶有keytab相關配置屬性

      *       keytab_KEY: 表示conf中代表keytab檔案屬性的鍵值

      *       principal_KEY: 表示conf中代表principal屬性的鍵值

      * @throws IOException

      */

     static void tryKerberosLogin(Configuration conf, String keytab_KEY, String principal_KEY) throws IOException {

          boolean useSec = true;

          LOG.info("Hadoop Security enabled: " + useSec);

          if (!useSec) {

               return;

          }

          try {

               @SuppressWarnings("rawtypes")

               Class c = Class.forName("org.apache.hadoop.security.SecurityUtil");

               // get method login(Configuration, String, String);

               @SuppressWarnings("unchecked")

               Method m = c.getMethod("login", Configuration.class, String.class,

                         String.class);

               m.invoke(null, conf,  keytab_KEY, principal_KEY);

               LOG.info("successfully authenticated with keytab");

          } catch (Exception e) {

               LOG.error(

                         "Flume failed when attempting to authenticate with keytab "

                                   + SimpleConfiguration.get().getKerberosKeytab()

                                   + " and principal '"

                                   + SimpleConfiguration.get().getKerberosPrincipal()

                                   + "'", e);

               return;

          }

     }

配置

...

 <property>

    <name>flume.security.kerberos.principal</name>

    <description></description>

</property>

<property>

    <name>flume.security.kerberos.keytab</name>

    <value>resources/flume.keytab</value>

    <description></description>

</property>

Sample

//呼叫例子

public  FileSystem getFileSystem(Configuration conf) {

               String KEYFILE_key = "flume.security.kerberos.keytab";

               String PRINCIPAL_key = "flume.security.kerberos.principal";

 

               try {

                    // 嘗試用kerberos登入

                    tryKerberosLogin(conf, KEYFILE_key, PRINCIPAL_key);

                    // 獲取一個hdfs例項

                    instance = FileSystem.get( conf);

               } catch (IOException e) {

                    LOG.error("try getFileSystem fail()", e);

               } catch (URISyntaxException e) {

                    LOG.error("try getFileSystem fail()", e);

               }

          }

          return instance;

     }

二、    通過UserGroupInformation獲取代理使用者方式

  package com.netease.backend.bigdata.wa.jobs;

 

import java.io.IOException;

 

import org.apache.hadoop.conf.Configuration;

import org.apache.hadoop.fs.Path;

import org.apache.hadoop.security.UserGroupInformation;

import org.apache.log4j.Logger;

import org.hsqldb.lib.StringUtil;

 

import com.netease.backend.bigdata.wa.core.ConfKeys;

 

/**

 * 代理使用者資訊認證工具

 *

 * @author zhouliangwei

 *

 */

public class ProxyUGI {

 

     private static Logger LOG = Logger.getLogger(ProxyUGI.class);

 

     private static UserGroupInformation instance = null;

     /**

      * 從Configuration中獲取代理使用者的相關配置,並獲取UserGroupInformation

      * @return

      * @throws IOException

      */

     public synchronized static UserGroupInformation getProxyUGI(Configuration conf) {

          if (instance != null)

               return instance;

          try {

               String username = conf.get(ConfKeys.MR_USER_NAME, "");

               String proxyPrincipal = conf.get(ConfKeys.WDA_PROXY_PRINCIPAL, "");

               String proxyKtab = conf.get(ConfKeys.WDA_PROXY_KEYTAB, "");

               if (StringUtil.isEmpty(username)

                         || StringUtil.isEmpty(proxyPrincipal)

                         || StringUtil.isEmpty(proxyKtab)) {

                    LOG.warn("config properties: ["

                              + ConfKeys.MR_USER_NAME

                              + ", "

                              + ConfKeys.WDA_PROXY_PRINCIPAL

                              + ", "

                              + ConfKeys.WDA_PROXY_KEYTAB

                              + "] in config file './conf/wda-core.xml' must be set!, quite use proxy mechanism");

                    return null;

               }

               instance = UserGroupInformation.createProxyUser(username,

                         UserGroupInformation.loginUserFromKeytabAndReturnUGI(

                                   proxyPrincipal, proxyKtab));

          } catch (IOException ex) {

               //just ignore;

          }

          return instance;

     }

}

呼叫方式

...

public static void main(final String[] args) throws Exception {

          UserGroupInformation ugi = ProxyUGI.getProxyUGI();

          if (ugi != null) {

               ugi.doAs(new PrivilegedExceptionAction<EventJobClient>() {

                    public EventJobClient run() throws Exception {

                         EventJobClient mr = new EventJobClient();

                         int code = ToolRunner.run(mr, args);

                         System.exit(code);

                         return mr;

                    }

               });

               System.exit(1);

          } else {

               int exitCode = ToolRunner.run(new EventJobClient(), args);

               System.exit(exitCode);

          }

     }

….


相關文章:
【推薦】 質量報告之我見

相關推薦

java程式獲取kerberos登陸hadoop

本文由作者周樑偉授權網易雲社群釋出。 一般我們在使用kbs登陸hadoop服務時都直接在shell中呼叫kinit命令來獲取憑證,這種方式簡單直接,只要獲取一次憑證之後都可以在該會話過程中重複訪問。但是這種方式一個明顯的問題就是如果在本次shell中會間隔呼叫不同的java程式,而這些程式需要訪問不同許可權

Java程式不通過hadoop jar的方式訪問hdfs

一般情況下,我們使用Java訪問hadoop distributed file system(hdfs)使用hadoop的相應api,新增以下的pom.xml依賴(這裡以hadoop2.2.0版本為例):   <dependency> <groupId>org.apach

java程式如何能獲取到另一個程式的windows控制代碼,又如何使用這個控制代碼向這個視窗傳送訊息

import com.sun.jna.Native; import com.sun.jna.Pointer; import com.sun.jna.platform.win32.WinDef.HWND; import com.sun.jna.platform.win32.W

Java 程式MD5的簡單使用

寫的不錯 MD5 (Message-Digest Algorithm 5)訊息摘要演算法 雖然網上有很多例子,我們還是動手實踐一下 在maven專案中匯入依賴包 <dependency> <groupId>org.apach

MFC 如何在自己的程式獲取Windows桌面底部工作列 自動隱藏工作列\取消自動隱藏工作列 的訊息

    由於需求,我需要獲取Windows底部工作列 自動隱藏工作列或者取消自動隱藏工作列時的訊息。 可在當時我就在想想要在自己程式中獲取系統的訊息那肯定很麻煩,於是我就上網查了一遍不過這方面的介紹也似乎不是很多。不過也有類似的比如用全域性鉤子、用API攔截技術等,但也只是

java程式執行緒cpu使用率計算

原文地址:https://www.imooc.com/article/27374 最近確實遇到題目上的剛需,也是花了一段時間來思考這個問題。 cpu使用率如何計算     計算使用率在上學那會就經常算,不過往往計算的是整個程式執行的時間段,現

java程式動態設定java.library.path

public static void addLibraryDir(String libraryPath) throws IOException { try { Field field = ClassLoader.class.getDeclaredFie

Java程式insert 執行慢的原因,以及c3p0連線池的配置

今天遇到一個問題,程式中一個insert 操作特別慢, 一直從來沒有遇到過,select 操作如果資料量大的話,是有可能出現這種情況的,但是單條insert插入操作出現這種情況,不知道從何查原因了,debug了確定了就是insert這個操作慢,一開始分析是不是mysql原因,在Navicat上ins

java springboot獲取漢字拼音

第一步:pom.xml檔案中引入pinyin4j依賴 <dependency> <groupId>com.belerweb</groupId> <artifactId>pinyin4j</artifactId> <

從Gitclone的java程式的漢字註釋,為什麼在Eclipse開啟是亂碼?

如下圖所示: 從git中clone下來的java程式,在Eclipse中開啟時漢子變成了亂碼,經研究發現,Eclipse預設編碼居然是GBK,js檔案預設編碼是ISO-.. 修改成UTF-8的方法如下: 1、windows->Preferences...開啟"首選項"對話

java程式使用JDBC連線mysql資料庫

  在java程式中我們時常會用到資料庫中的資料或操作資料庫中的資料,如果java程式沒有和我們得資料庫連線,就不能實現在java程式中直接操作資料庫。使用jdbc就能將java程式和資料庫連起來,此時我們就能在java程式裡通過java程式碼完成我們要對資料庫的操作。但是使用jdbc怎麼實現連線呢? 具體

Java程式的中文亂碼問題的解決方法

中文問題的來源 計算機最初的作業系統支援的編碼是單位元組的字元編碼,於是,在計算機中一切處理程式最初都是以單位元組編碼的英文為準進行處理。 隨著計算機的發展,為了適應世界其它民族的語言(當然包括我們的漢字),人們提出了UNICODE編碼,它採用雙位元組編碼,相容英文字元和其它民族的雙位元

定位Java程式佔用cpu資源最多執行緒

在程式設計時,有時候有些問題並不會暴露出來,往往等專案上線之後,突然就暴露出一些問題,比如網站相應慢,或者突然崩潰。 當然,網站相應慢可能是多方面的原因,硬體、軟體、cpu,io,網路都是可能的點。 本篇文章從cpu角度來分析佔用cpu最多執行緒從而導致網站

java 程式取得指定磁碟的空間

java.io.File; File file = new File("c:"); //取得C:\ 的總total空間 file.getTotalSpace(); //取得剩餘空間 file.getFreeSpace(); //取得已使用的空間 file.getUsableSpace

java程式,如何安全的結束一個正在執行的執行緒

在Java的多執行緒程式設計中,java.lang.Thread型別包含了一些列的方法start(), stop(), stop(Throwable) and suspend(), destroy() and resume()。通過這些方法,我們可以對執行緒進行方便的操作,但是這些方法中,只有start()

java獲取tomcat下的webap路徑方法

1.String url = req.getSession().getServletContext().getRealPath("");輸出的是:D:\4_tomcat7\webapps\TradePlatform(我

微信小程式獲取時間戳IOS不相容

一、時間轉換問題: 就是new  Date("2017-06-16") 在IOS會出現NAN的情況所以對於時間轉換需要另行封裝,解決方案如下 1.替換”-“為”/“ var thisData = r_that.data.thisDate.replace(/-/g,

Java程式Json不能解析的問題

情景:業務需要將字串轉為指定形式的Json物件,故使用了jackson包中的ObjectMapper類中的readValue()方法實現對json串反序列化以得到相應物件。 問題:無法將string轉

用jdbc的方法在Java程式連結SqlServer2014資料庫

     這幾天一直在弄電腦,裝sqlsever2014。之前一直裝不上是因為我裝的電腦系統是沒有組策略這個檔案的win8,所以裝SqlServer的時候一直提示沒有.netframework3.5。網上找了的.net framework3.5一直裝不上因為已經裝了4.0版

java程式,資料驗證,如何判斷輸入的文字框的值是不是int型?

String str1=jTextField1.getText(); str1=str1.replaceAll("[0-9]","");//將所有的數字型字元替換為空 if(str1.length()==0) System.out.println(“文字框中的值