[平台]資料連結Kerberos認證

1.1 版本

1.2 認證方式簡介

1）Kerberos 認證是 Hadoop 生態的一種通用的認證方式。

2）配置 Kerberos 認證的方式有兩種：

• 直接使用資料連結配置介面中的 Kerberos 認證：主要用於 Hive、HBase 等驅動的認證連結。

• 配置 JVM 參數後再進入資料連結配置介面進行認證：主要用於按要求填寫資料連結配置介面認證成功，建立連結依然拋錯的情況，比如 CDH 的 Impala 等資料庫。

1.3 支援的資料庫

支援的資料庫類型如下，進行 Kerberos 認證的資料庫，需要更換專用的驅動，URL 格式也要有所改變，詳情請參見：Kerberos 驅動整理

• Apache Impala

• Hadoop Hive

• Spark

• Transwarp Inceptor（星環）

• Apache Phoenix

• HBase

注：不支援多個 Kerberos 認證同時存在。例如：資料連結A 和 資料連結B 都需要進行 Kerberos 認證，那麼這兩個連結同一個時間內只能成功連結上一個。

1.4 資料連結前的準備工作

下載環境上的配置檔案 krb5.conf、XXX.keytab、principal 。

 XXX.keytab 為金鑰表檔案，需要在提供 Kerberos 服務的應用伺服器上找到該檔案的對應位置。在不同伺服器上 keytab 的檔案名稱可能不一樣，這裏用 XXX 代替。

這裏以 Hive 為例。

2.1 配置 Hosts 檔案

配置本地 hosts 檔案，例如路徑為C:\Windows\System32\drivers\etc\hosts，在此檔案增加遠端映射的配置，映射格式為「 IP  機器名」。如下圖所示：

注：對於維運平台部署的工程，如果需要使用kerberos認證，需要修改容器與宿主機的host，新增資料庫和kerberos認證中心的域名。

2.2 設定資料連結

1）參考 Kerberos 驅動整理 找到對應驅動，更改 URL 為對應格式，切換認證方式為 Kerberos。如下圖所示：

2）上傳 「keytab」檔案和「krb5.conf」檔案，如下圖所示：

3）點選「測試連結」，連結成功如下圖所示：

3.1 檢查伺服器及認證資訊

3.2 無法連結處理方式

1）若連結失敗，可與平台資料庫管理者確認相關服務的安全認證配置是否正確，並聯系帆軟技術支援並提供相關報錯日誌（新增 JVM 安全除錯參數，如下所示），資料平台資料庫版本、對應驅動 JAR 包、相關連結資訊、Java 認證連結測試程式碼或者能連結認證資料庫的 shell 工具等。

JVM 安全除錯日誌參數：

-Djava.security.debug=gssloginconfig,configfile,configparser,logincontext
-Djava.security.krb5.debug=true

2）特殊情況下，如果 Windows 系統下無法連結，可以把 FineReport 測試伺服器部署在 Linux 系統上。需保證該伺服器能透過相關 shell 工具連上資料庫，透過 klist 能看到已快取的 kgt 資訊。

3.3 報錯

3.3.1 報錯： 31300010 kdc伺服器不連通

原因：連結逾時

解決方法：改大逾時時間