解決:org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERB...

import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.fs.*;
import org.apache.hadoop.fs.permission.AclStatus;
import org.apache.hadoop.security.UserGroupInformation;

import java.io.File;
import java.io.FileWriter;
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.nio.file.StandardCopyOption;

public class HdfsKerberosDemo {

    public static void main(String[] args) throws IOException {

        // -Djava.security.krb5.conf=/home/xxx/kerberos/krb5.conf
        // -Dkeytab.path=/home/xxx/kerberos/hive.service.keytab
        String krb5File = "/xxx/krb5.conf";
        String fileName = krb5File.substring(krb5File.lastIndexOf("/")+1);
        String tempConfPath = "/root/temp/" + fileName;
        try {
            download(krb5File, tempConfPath);
        } catch (IOException e) {

            File folder = new File("/root/temp");
            String[] files = folder.list();
            boolean fileExists = false;

            if (files != null) {
                for (String file : files) {
                    if (file.equals(fileName)) {
                        fileExists = true;
                        break;
                    }
                }
            }

            if (fileExists) {
                //log.info("-------------------krb5conf文件存在-------------");
                try {
                    Files.delete(Paths.get(tempConfPath));
                } catch (IOException ioe) {
                    ioe.printStackTrace();
                }
            }

            throw new RuntimeException("獲取krb5.conf文件失敗");
        }
        /** 設(shè)置krb5.conf到環(huán)境變量*/
        System.setProperty("java.security.krb5.conf", tempConfPath);
        String keytabFile = "/xxx/krb5.conf";
        String keytabName = keytabFile.substring(keytabFile.lastIndexOf("/")+1);
        String tempKeytabPath = "/root/temp/" + keytabName;
        try {
            download(keytabFile, tempKeytabPath);
        } catch (IOException e) {

            File folder = new File("/root/temp");
            String[] files = folder.list();
            boolean fileExists = false;

            if (files != null) {
                for (String file : files) {
                    if (file.equals(keytabName)) {
                        fileExists = true;
                        break;
                    }
                }
            }

            if (fileExists) {
                //log.info("-------------------krb5conf文件存在-------------");
                try {
                    Files.delete(Paths.get(tempKeytabPath));
                } catch (IOException ioe) {
                    ioe.printStackTrace();
                }
            }

            throw new RuntimeException("獲取krb5.conf文件失敗");
        }
        System.setProperty("keytab.path", tempKeytabPath);
        // 加載Hadoop配置
        Configuration configuration = new Configuration();

        configuration.addResource(new Path(HdfsKerberosExample.class.getClassLoader().getResource("core-site.xml").getPath()));
        configuration.addResource(new Path(HdfsKerberosExample.class.getClassLoader().getResource("hdfs-site.xml").getPath()));
        // 檢測(cè)kerberos認(rèn)證配置文件
        String krb5conf = System.getProperty("java.security.krb5.conf");
        String keytabPath = System.getProperty("keytab.path");
        if (krb5conf == null) {
            System.out.println("未找到krb5.conf节吮,請(qǐng)配置VMOptions[java.security.krb5.conf]");
            return;
        } else if (keytabPath == null) {
            System.out.println("未找到krb5.conf,請(qǐng)配置VMOptions[keytab.path]");
            return;
        }
        System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
        configuration.set("fs.defaultFS", "hdfs://xxxx");  //HDFS地址
        //configuration.setClassLoader(org.apache.hadoop.hdfs.DistributedFileSystem.class.getClassLoader());
        configuration.set("fs.file.impl", org.apache.hadoop.fs.LocalFileSystem.class.getName());
        configuration.set("fs.hdfs.impl", org.apache.hadoop.hdfs.DistributedFileSystem.class.getName());
        // 啟用keytab renewal
        configuration.set("hadoop.kerberos.keytab.login.autorenewal.enabled", "true");
        configuration.set("hadoop.security.authentication", "Kerberos");

        // 使用UserGroupInformation進(jìn)行認(rèn)證
        UserGroupInformation.setConfiguration(configuration);
        UserGroupInformation.loginUserFromKeytab("hive/datasophon01@HADOOP.COM", keytabPath);

        System.out.println("====== 打印當(dāng)前登錄用戶 START =====");
        //System.out.println("user:" + UserGroupInformation.getCurrentUser());
        System.out.println("====== 打印當(dāng)前登錄用戶 END =====\n");

        // 創(chuàng)建FileSystem實(shí)例
        FileSystem fileSystem = FileSystem.get(configuration);
        // 創(chuàng)建根路徑
        Path rootPath = new Path("/data");

        System.out.println("====== ACL =====");
        // 打印 ACL 內(nèi)容
        /*AclStatus aclStatus = fileSystem.getAclStatus(rootPath);
        System.out.println(aclStatus);
        System.out.println();*/
        System.out.println(fileSystem.getStatus(new Path("/data")));


        System.out.println("======= ROOT(/) Files ======");
        RemoteIterator<LocatedFileStatus> list = FileSystem.get(configuration).listFiles(rootPath,true);
        while (list.hasNext()){
            LocatedFileStatus fileStatus =list.next();
            System.out.println("文件路徑為" + fileStatus.getPath());
        }
        /*RemoteIterator<LocatedFileStatus> fileStatus = fileSystem.listFiles(rootPath,true);
        System.out.println("成功獲取文件系統(tǒng)友题,正在導(dǎo)出文件系統(tǒng)內(nèi)容,請(qǐng)稍后...");
        FileWriter writer = new FileWriter("hdfs-files.txt");
        while (fileStatus.hasNext()){
            LocatedFileStatus st = fileStatus.next();
            writer.write(st.getPath().toString());
        }
        writer.close();*/
        System.out.println("hdfs文件內(nèi)容寫(xiě)入成功");


        // 關(guān)閉認(rèn)證用戶
        // UserGroupInformation.getLoginUser().logout();
        UserGroupInformation.getLoginUser().logoutUserFromKeytab();
    }

    private static void download(String url, String localPath) throws IOException {
        URL website = new URL(url);
        try (InputStream in = website.openStream()) {
            Files.copy(in, Paths.get(localPath), StandardCopyOption.REPLACE_EXISTING);
        }
    }
}

win11上執(zhí)行上述代碼正常场晶,但在linux服務(wù)器上執(zhí)行同樣的代碼,用FileSystem Client去操作HDFS文件的時(shí)候伪冰,應(yīng)用報(bào)如下的錯(cuò)誤:org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBERO]蹦渣。
在確認(rèn)了集群已經(jīng)是開(kāi)啟Kerberos認(rèn)證之后哄芜,去看詳細(xì)的日志相關(guān)信息,看到了如下的提示:

Login successful for user hdfs/xxxx@xxx.COM using keytab file /root/temp/xxxKEYTABFILE
說(shuō)明應(yīng)用端的Kerberos認(rèn)證其實(shí)已經(jīng)通過(guò)了柬唯,但是在操作HDFS文件的時(shí)候?yàn)槭裁催€是報(bào)了Client cannot authenticate via:[TOKEN, KERBEROS]的錯(cuò)认臊。
解決:換成如下代碼

                String krb5File = "/xxx/krb5.conf";
        String fileName = krb5File.substring(krb5File.lastIndexOf("/")+1);
        String tempConfPath = "D:\\Download\\" + fileName;
        try {
            download(krb5File, tempConfPath);
        } catch (IOException e) {

            File folder = new File("D:\\Download");
            String[] files = folder.list();
            boolean fileExists = false;

            if (files != null) {
                for (String file : files) {
                    if (file.equals(fileName)) {
                        fileExists = true;
                        break;
                    }
                }
            }

            if (fileExists) {
                //log.info("-------------------krb5conf文件存在-------------");
                try {
                    Files.delete(Paths.get(tempConfPath));
                } catch (IOException ioe) {
                    ioe.printStackTrace();
                }
            }

            throw new RuntimeException("獲取krb5.conf文件失敗");
        }
        /** 設(shè)置krb5.conf到環(huán)境變量*/
        System.setProperty("java.security.krb5.conf", tempConfPath);
        String keytabFile = "/xxx/krb5.conf";
        String keytabName = keytabFile.substring(keytabFile.lastIndexOf("/")+1);
        String tempKeytabPath = "D:\\Download\\" + keytabName;
        try {
            download(keytabFile, tempKeytabPath);
        } catch (IOException e) {

            File folder = new File("D:\\Download");
            String[] files = folder.list();
            boolean fileExists = false;

            if (files != null) {
                for (String file : files) {
                    if (file.equals(keytabName)) {
                        fileExists = true;
                        break;
                    }
                }
            }

            if (fileExists) {
                //log.info("-------------------krb5conf文件存在-------------");
                try {
                    Files.delete(Paths.get(tempKeytabPath));
                } catch (IOException ioe) {
                    ioe.printStackTrace();
                }
            }

            throw new RuntimeException("獲取krb5.conf文件失敗");
        }
        System.setProperty("keytab.path", tempKeytabPath);
        // 加載Hadoop配置
        Configuration configuration = new Configuration();

        configuration.addResource(new Path(HdfsKerberosExample.class.getClassLoader().getResource("core-site.xml").getPath()));
        configuration.addResource(new Path(HdfsKerberosExample.class.getClassLoader().getResource("hdfs-site.xml").getPath()));
        // 檢測(cè)kerberos認(rèn)證配置文件
        String krb5conf = System.getProperty("java.security.krb5.conf");
        String keytabPath = System.getProperty("keytab.path");
        if (krb5conf == null) {
            System.out.println("未找到krb5.conf,請(qǐng)配置VMOptions[java.security.krb5.conf]");
            return;
        } else if (keytabPath == null) {
            System.out.println("未找到krb5.conf锄奢,請(qǐng)配置VMOptions[keytab.path]");
            return;
        }
                System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
                configuration.set("fs.defaultFS", "hdfs://" + linkParameter.getHdfsAddress());  //HDFS地址
                configuration.set("fs.file.impl", org.apache.hadoop.fs.LocalFileSystem.class.getName());
                //configuration.set("fs.hdfs.impl", org.apache.hadoop.hdfs.DistributedFileSystem.class.getName());
                Thread.currentThread().setContextClassLoader(org.apache.hadoop.hdfs.DistributedFileSystem.class.getClassLoader());
                configuration.setClassLoader(org.apache.hadoop.hdfs.DistributedFileSystem.class.getClassLoader());
                //configuration.setClassLoader(org.apache.hadoop.hdfs.DistributedFileSystem.class.getClassLoader());
                // 啟用keytab renewal
                configuration.set("hadoop.kerberos.keytab.login.autorenewal.enabled", "true");
                configuration.set("hadoop.security.authentication", taskDatasourceConfigDTO.getAuthentication());

                // 使用UserGroupInformation進(jìn)行認(rèn)證
        UserGroupInformation.setConfiguration(configuration);
        UserGroupInformation.loginUserFromKeytab("hive/datasophon01@HADOOP.COM", keytabPath);

        System.out.println("====== 打印當(dāng)前登錄用戶 START =====");
        //System.out.println("user:" + UserGroupInformation.getCurrentUser());
        System.out.println("====== 打印當(dāng)前登錄用戶 END =====\n");

        // 創(chuàng)建FileSystem實(shí)例
        FileSystem fileSystem = FileSystem.get(configuration);
        // 創(chuàng)建根路徑
        Path rootPath = new Path("/data");

        System.out.println("====== ACL =====");
        // 打印 ACL 內(nèi)容
        /*AclStatus aclStatus = fileSystem.getAclStatus(rootPath);
        System.out.println(aclStatus);
        System.out.println();*/
        System.out.println(fileSystem.getStatus(new Path("/data")));


        System.out.println("======= ROOT(/) Files ======");
        RemoteIterator<LocatedFileStatus> list = FileSystem.get(configuration).listFiles(rootPath,true);
        while (list.hasNext()){
            LocatedFileStatus fileStatus =list.next();
            System.out.println("文件路徑為" + fileStatus.getPath());
        }
        /*RemoteIterator<LocatedFileStatus> fileStatus = fileSystem.listFiles(rootPath,true);
        System.out.println("成功獲取文件系統(tǒng)失晴,正在導(dǎo)出文件系統(tǒng)內(nèi)容,請(qǐng)稍后...");
        FileWriter writer = new FileWriter("hdfs-files.txt");
        while (fileStatus.hasNext()){
            LocatedFileStatus st = fileStatus.next();
            writer.write(st.getPath().toString());
        }
        writer.close();*/
        System.out.println("hdfs文件內(nèi)容寫(xiě)入成功");


        // 關(guān)閉認(rèn)證用戶
        // UserGroupInformation.getLoginUser().logout();
        UserGroupInformation.getLoginUser().logoutUserFromKeytab();

核心是如下三行

configuration.set("fs.file.impl", org.apache.hadoop.fs.LocalFileSystem.class.getName());// configuration.set("fs.hdfs.impl", "org.apache.hadoop.hdfs.DistributedFileSystem");
Thread.currentThread().setContextClassLoader(org.apache.hadoop.hdfs.DistributedFileSystem.class.getClassLoader());
configuration.setClassLoader(org.apache.hadoop.hdfs.DistributedFileSystem.class.getClassLoader());
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末拘央,一起剝皮案震驚了整個(gè)濱河市涂屁,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌灰伟,老刑警劉巖拆又,帶你破解...
    沈念sama閱讀 206,311評(píng)論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異栏账,居然都是意外死亡帖族,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,339評(píng)論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門挡爵,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)盟萨,“玉大人,你說(shuō)我怎么就攤上這事了讨。” “怎么了制轰?”我有些...
    開(kāi)封第一講書(shū)人閱讀 152,671評(píng)論 0 342
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵前计,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我垃杖,道長(zhǎng)男杈,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 55,252評(píng)論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任调俘,我火速辦了婚禮伶棒,結(jié)果婚禮上旺垒,老公的妹妹穿的比我還像新娘。我一直安慰自己肤无,他們只是感情好先蒋,可當(dāng)我...
    茶點(diǎn)故事閱讀 64,253評(píng)論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著宛渐,像睡著了一般竞漾。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上窥翩,一...
    開(kāi)封第一講書(shū)人閱讀 49,031評(píng)論 1 285
  • 城市分裂傳說(shuō)
    那天业岁,我揣著相機(jī)與錄音,去河邊找鬼寇蚊。 笑死笔时,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的仗岸。 我是一名探鬼主播允耿,決...
    沈念sama閱讀 38,340評(píng)論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼爹梁!你這毒婦竟也來(lái)了右犹?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 36,973評(píng)論 0 259
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤姚垃,失蹤者是張志新(化名)和其女友劉穎念链,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體积糯,經(jīng)...
    沈念sama閱讀 43,466評(píng)論 1 300
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡掂墓,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 35,937評(píng)論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了看成。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片君编。...
    茶點(diǎn)故事閱讀 38,039評(píng)論 1 333
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖川慌,靈堂內(nèi)的尸體忽然破棺而出吃嘿,到底是詐尸還是另有隱情,我是刑警寧澤梦重,帶...
    沈念sama閱讀 33,701評(píng)論 4 323
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布兑燥,位于F島的核電站,受9級(jí)特大地震影響琴拧,放射性物質(zhì)發(fā)生泄漏降瞳。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,254評(píng)論 3 307
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一蚓胸、第九天 我趴在偏房一處隱蔽的房頂上張望挣饥。 院中可真熱鬧除师,春花似錦、人聲如沸扔枫。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,259評(píng)論 0 19
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)茧吊。三九已至贞岭,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間搓侄,已是汗流浹背瞄桨。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,485評(píng)論 1 262
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留讶踪,地道東北人芯侥。 一個(gè)月前我還...
    沈念sama閱讀 45,497評(píng)論 2 354
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像乳讥,于是被迫代替她去往敵國(guó)和親柱查。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 42,786評(píng)論 2 345

推薦閱讀更多精彩內(nèi)容