在运行时模拟Kerberos安全Hadoop集群中的用户
我有一个web应用程序,它可以从linux命令行接收来自不同用户的其他几个应用程序的请求。对于这些请求中的每一个,我都必须从hdfs中读取数据,以便调用只有调用应用程序linux用户才能访问的应用程序文件夹。是否有一种方法可以设置配置,使其在运行时被覆盖,以模拟调用方应用程序用户进行hadoop kerberos身份验证。 我使用下面的代码创建了一个UserGroupInformation,以便从kerberos密钥表登录。此UGI将充当真实用户,并将其传递给UserGroupInformation类以创建代理用户,如下所示在运行时模拟Kerberos安全Hadoop集群中的用户,hadoop,impersonation,kerberos,Hadoop,Impersonation,Kerberos,我有一个web应用程序,它可以从linux命令行接收来自不同用户的其他几个应用程序的请求。对于这些请求中的每一个,我都必须从hdfs中读取数据,以便调用只有调用应用程序linux用户才能访问的应用程序文件夹。是否有一种方法可以设置配置,使其在运行时被覆盖,以模拟调用方应用程序用户进行hadoop kerberos身份验证。 我使用下面的代码创建了一个UserGroupInformation,以便从kerberos密钥表登录。此UGI将充当真实用户,并将其传递给UserGroupInformati
UserGroupInformation realUgi = UserGroupInformation.loginUserFromKeytabAndReturnUGI("KerberosUser ", "pathToKeytabFile") ;
UserGroupInformation ugi = UserGroupInformation.createProxyUser("NewProxyUser", realUgi );
ugi.doAs(new PrivilegedExceptionAction() {
public Void run() throws Exception {
Configuration jobconf = new Configuration();
jobconf.set("fs.default.name", "hdfs://server:hdfsport");
jobconf.set("hadoop.job.ugi", "NewroxyUser");
jobconf.set("mapred.job.tracker", "server:jobtracker port");
String[] args = new String[] { "data/input", "data/output" };
ToolRunner.run(jobconf, WordCount.class.newInstance(), args);
return null;
} });
ERROR UserGroupInformation:1125 - PriviledgedActionException as:NewProxyUser
via KerberosUser cause:org.apache.hadoop.ipc.RemoteException: User: KerberosUser is not allowed to impersonate NewProxyUser
Caused by: org.apache.hadoop.ipc.RemoteException: User: KerberosUser is not allowed to impersonate NewProxyUser
UserGroupInformation realUgi = UserGroupInformation.loginUserFromKeytabAndReturnUGI("KerberosUser ", "pathToKeytabFile") ;
UserGroupInformation ugi = UserGroupInformation.createProxyUser("NewProxyUser", realUgi );
ugi.doAs(new PrivilegedExceptionAction() {
public Void run() throws Exception {
Configuration jobconf = new Configuration();
jobconf.set("fs.default.name", "hdfs://server:hdfsport");
jobconf.set("hadoop.job.ugi", "NewroxyUser");
jobconf.set("mapred.job.tracker", "server:jobtracker port");
String[] args = new String[] { "data/input", "data/output" };
ToolRunner.run(jobconf, WordCount.class.newInstance(), args);
return null;
} });
ERROR UserGroupInformation:1125 - PriviledgedActionException as:NewProxyUser
via KerberosUser cause:org.apache.hadoop.ipc.RemoteException: User: KerberosUser is not allowed to impersonate NewProxyUser
Caused by: org.apache.hadoop.ipc.RemoteException: User: KerberosUser is not allowed to impersonate NewProxyUser
提前感谢要模拟来电者,您必须具有模拟的特定权限。我相信默认情况下只有root有这个权利。我不知道这是否可以在Linux中配置。(在windows上是
SeImpersonatePrivilege否则,用户可以在Kerberos域上运行随机的非特权服务,例如
http://MYLAPTOP:64990/