Apache kafka 卡夫卡流:Kerberos票证续订
当Kafka stream应用程序启动时,将使用以下jaas文件。但是,流应用程序不会自动更新票据。票证过期后,它将失败,但出现以下例外情况。我们应该如何保持Kerberos票证自动续订Apache kafka 卡夫卡流:Kerberos票证续订,apache-kafka,kerberos,apache-kafka-streams,jaas,Apache Kafka,Kerberos,Apache Kafka Streams,Jaas,当Kafka stream应用程序启动时,将使用以下jaas文件。但是,流应用程序不会自动更新票据。票证过期后,它将失败,但出现以下例外情况。我们应该如何保持Kerberos票证自动续订 KafkaClient { com.sun.security.auth.module.Krb5LoginModule required doNotPrompt=true useTicketCache=true principal="astvy@DEV.ACM.COM" useKeyTab=true servic
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
doNotPrompt=true
useTicketCache=true
principal="astvy@DEV.ACM.COM"
useKeyTab=true
serviceName="kafka"
keyTab="/home/astvy/astvy.headless.keytab"
renewTGT=true
client=true;
};
错误
在进行以下几项更正(关键更改是将useTicketCache设置为false)后,我们没有看到上述问题再次发生,但由于续订TGT设置为7天,我们将继续监控问题是否已解决。如果以下更改永久解决了问题,将再检查几天并对此进行确认
Kafka Streams使用Kerberos和SSL,就像configs中的任何其他Kafka客户端(如producer和consumer)一样,因此我无法真正考虑流本身中可能导致不续订票证的任何问题
我在Google上做了一些快速搜索,其中一个可能是相关的:,如果您使用的是J8。卡夫卡流使用Kerberos和SSL,就像配置中的其他卡夫卡客户端一样,如producer和consumer,所以我真的想不出流本身中可能导致不续订票证的任何问题
我在谷歌上做了一些快速搜索,其中一个可能与之相关:,如果您使用的是J8。我建议您继续关注卡夫卡邮件列表。这可能是客户端中的错误。如果您能够重新创建此问题,是否可以在启用调试日志记录的情况下运行(至少对于KerberosLogin)?如果您可以使用附加的日志为ApacheKafka创建一个JIRA,那就太好了。我们没有足够的关于票证刷新的测试,所以如果有我们不能正确处理的配置,我们可以尝试在下一版本中修复。非常感谢。嗨,马蒂亚斯,拉吉尼,请看上面。我们仍在监控该行为,如果我们继续观察相同的问题,我们会通知您。感谢您的关注。我建议您继续关注卡夫卡邮件列表。这可能是客户端中的错误。如果您能够重新创建此问题,是否可以在启用调试日志记录的情况下运行(至少对于KerberosLogin)?如果您可以使用附加的日志为ApacheKafka创建一个JIRA,那就太好了。我们没有足够的关于票证刷新的测试,所以如果有我们不能正确处理的配置,我们可以尝试在下一版本中修复。非常感谢。嗨,马蒂亚斯,拉吉尼,请看上面。我们仍在监控该行为,如果我们继续观察相同的问题,我们会通知您。谢谢你的关注。嗨,郭张,请看上面。我们仍在监控该行为,如果我们继续观察相同的问题,我们会通知您。谢谢你的关注。嗨,郭张,请看上面。我们仍在监控该行为,如果我们继续观察相同的问题,我们会通知您。谢谢你调查这件事。
Abort sending since an error caught with a previous record (key ED1812 value org.cox.model.HourlyUnit@83e6c99 timestamp 1536165112061) to topic dub_hourlyunit_source1 due to org.apache.kafka.common.errors.SaslAuthenticationException:
An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException:
GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]) occurred when evaluating SASL token received from the Kafka Broker.
Kafka Client will go to AUTHENTICATION_FAILED state.
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
doNotPrompt=true
useTicketCache=false
principal="astvy@DEV.ACM.COM"
useKeyTab=true
serviceName="kafka"
keyTab="/home/astvy/astvy.headless.keytab"
storeKey=true;
};