資料連結 Kerberos 認證

1.1 版本

1.2 功能簡介

1）Kerberos 認證 是 Hadoop 生態的一種通用的認證方式。

2）配置 Kerberos 認證的方式有兩種：

• 直接使用資料連結配置介面中的 Kerberos 認證：主要用於 Hive、HBase 等驅動的認證連結。

• 配置 JVM 參數後再進入資料連結配置介面進行認證：主要用於按要求填寫資料連結配置介面認證成功，建立連結依然拋錯的情況，比如 CDH 的 Impala 等資料庫。

1.3 支援的資料庫

支援的資料庫類型如下，進行 Kerberos 認證的資料庫，需要更換專用的驅動，URL 格式也要有所改變，詳情請參見：Kerberos驅動整理

1.4 資料連結前的準備工作

1）下載環境上的配置檔案 krb5.conf、XXX.keytab、principal 。

2）principal 為註冊過 KDC 的使用者端名稱。

3） XXX.keytab 為金鑰表檔案，需要在提供 Kerberos 服務的應用伺服器上找到該檔案的對應位置。在不同伺服器上 keytab 的檔案名稱可能不一樣，這裏用 XXX 代替。

這裏以 Hve 為例。

2.1 配置 hosts 檔案

配置本地 hosts 檔案，例如在路徑C:\Windows\System32\drivers\etc\hosts下配置遠端映射：192.168.5.127  quickstart.cloudera 。映射格式為「 IP  機器名」。如下圖所示：

2.2 設定資料連結

1）參考 Kerberos驅動整理 找到對應驅動，更改 URL 為對應格式，切換認證方式為 Kerberos。如下圖所示：

2）上傳「keytab」檔案和「krb5.conf」檔案。如下圖所示：

3）點選「測試連結」，連結成功如下圖所示：

3.1 檢查伺服器及認證資訊

3.2 無法連結處理方式

1）若連結失敗，可與平台資料庫管理者確認相關服務的安全認證配置是否正確，並聯系帆軟技術支援並提供相關報錯日誌（提新增 JVM 安全除錯參數，如下所示），資料平台資料庫版本、對應驅動 JAR 包、相關連結資訊、Java 認證連結測試程式碼或者能連結認證資料庫的 shell 工具等。

jvm 安全除錯日誌參數：

-Djava.security.debug=gssloginconfig,configfile,configparser,logincontext
-Djava.security.krb5.debug=true

2）特殊情況下，如果 Windows 系統下無法連結，可以把 FineBI 測試伺服器部署在 Linux 系統上。需保證該伺服器能透過相關 shell 工具連上資料庫，透過 klist 能看到已快取的 kgt 資訊。

3.3 報錯

3.3.1 Unable to obtain Principal Name for authentication

問題描述：

cdh 連結拋錯：Unable to obtain Principal Name for authentication 

原因分析：

JDK 預設安裝的 JCE 不能處理超過 128 位的對稱金鑰。

解決方案：

更新 JRE 的 JCE 擴展包。

JCE 安裝詳情參見：擴展包安裝連結 。通常直接到第 4 步即可，下載解壓得到 JCE 擴展 JAR 包，然後到 JRE 的指定目錄更換檔案即可。

3.3.2 GSS initiate failed

問題描述：

Transwarp Inceptor（星環）資料庫報錯 GSS initiate failed 。

排查步驟：

驅動本身做了靜態全局的操作，kerberos 中心重新整理後，驅動內部的靜態全局還殘留，故資料連結連不上。重啟 BI 伺服器查看是否依舊有該報錯。若仍然有，採取下面的排查步驟：

• （密碼錯誤）keytab 檔案與使用者不匹配，可以在使用者端伺服器中kinit-k-t keytab使用者進行檢查。

• 本地伺服器和遠端伺服器的（時鐘偏移）時間不匹配，請檢查ntp到遠端伺服器。

• （aes256不支援）預設情況下aes256不支援jdk/jre，需要從/opt/huawei/Bigdata/jdk/jre/lib/security路徑中的遠端伺服器複製local_policy.jar和US_export_policy.jar。

• （無規則）主體格式預設不支援，需要新增屬性hadoop.security.auth_to_local（在core site.xml中）值規則：[1:$1]規則：[2:$1]。

• （逾時）無法連結到kdc伺服器或網路中存在防火牆。