[平台]数据连接Kerberos认证

1.1 版本

1.2 认证方式简介

1）Kerberos 认证是 Hadoop 生态的一种通用的认证方式。

2）配置 Kerberos 认证的方式有两种：

• 直接使用数据连接配置界面中的 Kerberos 认证：主要用于 Hive、HBase 等驱动的认证连接。

• 配置 JVM 参数后再进入数据连接配置界面进行认证：主要用于按要求填写数据连接配置界面认证成功，创建连接依然抛错的情况，比如 CDH 的 Impala 等数据库。

1.3 支持的数据库

支持的数据库类型如下，进行 Kerberos 认证的数据库，需要更换专用的驱动，URL 格式也要有所改变，详情请参见：Kerberos 驱动整理

• Apache Impala

• Hadoop Hive

• Spark

• Transwarp Inceptor（星环）

• Apache Phoenix

• HBase

注：不支持多个 Kerberos 认证同时存在。例如：数据连接A 和 数据连接B 都需要进行 Kerberos 认证，那么这两个连接同一个时间内只能成功连接上一个。

1.4 数据连接前的准备工作

下载环境上的配置文件 krb5.conf、XXX.keytab、principal 。

 XXX.keytab 为密钥表文件，需要在提供 Kerberos 服务的应用服务器上找到该文件的对应位置。在不同服务器上 keytab 的文件名称可能不一样，这里用 XXX 代替。

这里以 Hive 为例。

2.1 配置 hosts 文件

配置本地 hosts 文件，例如路径为C:\Windows\System32\drivers\etc\hosts，在此文件增加远端映射的配置，映射格式为「 IP  机器名」。如下图所示：

注：对于运维平台部署的工程，如果需要使用kerberos认证，需要修改容器与宿主机的host，添加数据库和kerberos认证中心的域名。

2.2 设置数据连接

1）参考 Kerberos 驱动整理 找到对应驱动，更改 URL 为对应格式，切换认证方式为 Kerberos。如下图所示：

2）上传 「keytab」文件和「krb5.conf」文件，如下图所示：

3）点击「测试连接」，连接成功如下图所示：

3.1 检查服务器及认证信息

3.2 无法连接处理方式

1）若连接失败，可与平台数据库管理员确认相关服务的安全认证配置是否正确，并联系帆软技术支持并提供相关报错日志（添加 JVM 安全调试参数，如下所示），数据平台数据库版本、对应驱动 JAR 包、相关连接信息、Java 认证连接测试代码或者能连接认证数据库的 shell 工具等。

JVM 安全调试日志参数：

-Djava.security.debug=gssloginconfig,configfile,configparser,logincontext
-Djava.security.krb5.debug=true

2）特殊情况下，如果 Windows 系统下无法连接，可以把 FineReport 测试服务器部署在 Linux 系统上。需保证该服务器能通过相关 shell 工具连上数据库，通过 klist 能看到已缓存的 kgt 信息。

3.3 报错

3.3.1 报错：31300010 kdc服务器不连通

原因：连接超时

解决方法：改大超时时间