【发布时间】:2013-12-24 04:29:57
【问题描述】:
我有一个 Web 应用程序,它接收来自不同用户的从 linux 命令行运行的其他几个应用程序的请求。对于这些请求中的每一个,我都必须从 hdfs 读取数据以调用只有调用应用程序 linux 用户才能访问的应用程序文件夹。有没有一种方法可以设置配置,使其可以在运行时被覆盖以模拟调用者应用程序用户进行 hadoop kerberos 身份验证。 我已经使用下面的代码创建了一个 UserGroupInformation 以从 kerberos 密钥表登录。这个 UGI 将充当真实用户并将其传递给 UserGroupInformation 类以创建代理用户,如下所示。
UserGroupInformation realUgi = UserGroupInformation.loginUserFromKeytabAndReturnUGI("KerberosUser ", "pathToKeytabFile") ;
UserGroupInformation ugi = UserGroupInformation.createProxyUser("NewProxyUser", realUgi );
ugi.doAs(new PrivilegedExceptionAction() {
public Void run() throws Exception {
Configuration jobconf = new Configuration();
jobconf.set("fs.default.name", "hdfs://server:hdfsport");
jobconf.set("hadoop.job.ugi", "NewroxyUser");
jobconf.set("mapred.job.tracker", "server:jobtracker port");
String[] args = new String[] { "data/input", "data/output" };
ToolRunner.run(jobconf, WordCount.class.newInstance(), args);
return null;
} });
在这种情况下,我使用的是 Kerberos 安全 hadoop 实现,我收到下面给出的错误。
ERROR UserGroupInformation:1125 - PriviledgedActionException as:NewProxyUser
via KerberosUser cause:org.apache.hadoop.ipc.RemoteException: User: KerberosUser is not allowed to impersonate NewProxyUser
Caused by: org.apache.hadoop.ipc.RemoteException: User: KerberosUser is not allowed to impersonate NewProxyUser
您能否建议我使用 Kerberos 用户模拟代理用户的任何其他方式。
提前致谢
【问题讨论】:
标签: hadoop impersonation kerberos