HDFS 授权异常
HDFS AuthorizationException
请帮助我理解为什么我的数据节点连接有问题:
WARN server.AuthenticationFilter
(AuthenticationFilter.java:doFilter(588)) - Authentication exception:
org.apache.hadoop.security.authentication.client.AuthenticationException:
GSS Exception: Failure unspecified at GSS-API level (Mechanism level:
Checksum failed) WARN datanode.DataNode
(BPServiceActor.java:retrieveNamespaceInfo(227)) - Problem connecting
to server: s--t-..ru/10.243..*:8020
我有 kerberized 集群,一切正常,但我需要添加新的数据节点,我只有新数据节点有连接问题。
在名称节点上,我有下一条消息:
INFO ipc.Server (Server.java:authorizeConnection(2235)) - Connection
from 10.243.218.16:33435 for protocol
org.apache.hadoop.hdfs.server.protocol.DatanodeProtocol is
unauthorized for user dn/s--t-..ru@.RU
(auth:PROXY) via $J4LB00-3PQ0LQ7EGVSG@.RU (auth:KERBEROS)
2020-02-05 09:37:20,172 INFO ipc.Server (Server.java:doRead(1006)) -
Socket Reader #1 for port 8020: readAndProcess from client
10.243.218.16 threw exception [org.apache.hadoop.security.authorize.AuthorizationException: User:
$J4LB00-3PQ0LQ7EGVSG@.RU is not allowed to impersonate
dn/s--t-..ru@.RU]
那么最有趣的东西是什么 User: $J4LB00-3PQ0LQ7EGVSG@.RU 一样dn/s--t- ..ru 用户但 pre-win 2000 登录名
这是对的事情吗?
还有什么有趣的,我对其他老数据节点没有问题,只有这个。
本周我们 运行 在我们的集群上遇到了完全相同的问题,影响了所有节点!
在第 72 页的 HDP 3.1.4 release notes 中,我们发现了一个关于 Open JDK 8u242:
的已知问题
Description of the problem or behavior
Open JDK 8u242 is not supported as it causes Kerberos failure.
Workaround Use a different version of Open JDK
我们发现我们在本周初升级到 8u242 并降级到 openjdk-8-jdk=8u162-b12-1.
这为我们解决了问题。
降级并不是真正的解决办法。我们遇到了同样的问题所以我在这里报告:https://bugs.launchpad.net/ubuntu/+source/openjdk-8/+bug/1861883
我也向 OpenJDK 错误报告网站报告了此问题(两次),但到目前为止没有任何反应。
感谢您报告此事。我在 HDP 3.1.4 集群上调查了这个问题几个小时,但无法理解发生了什么。降级 JDK 修复了它。
此 OpenJDK 8 242 版本导致了更多问题。我们不得不回滚到 OpenJDK 8u232 for HDF (Nifi) 以及 Nifi 站点到站点连接超时的问题,与 Kerberos 无关。症状是到原始端口的 TCP 会话处于 SYN_RECV.
状态
请帮助我理解为什么我的数据节点连接有问题:
WARN server.AuthenticationFilter (AuthenticationFilter.java:doFilter(588)) - Authentication exception: org.apache.hadoop.security.authentication.client.AuthenticationException: GSS Exception: Failure unspecified at GSS-API level (Mechanism level: Checksum failed) WARN datanode.DataNode (BPServiceActor.java:retrieveNamespaceInfo(227)) - Problem connecting to server: s--t-..ru/10.243..*:8020
我有 kerberized 集群,一切正常,但我需要添加新的数据节点,我只有新数据节点有连接问题。 在名称节点上,我有下一条消息:
INFO ipc.Server (Server.java:authorizeConnection(2235)) - Connection from 10.243.218.16:33435 for protocol org.apache.hadoop.hdfs.server.protocol.DatanodeProtocol is unauthorized for user dn/s--t-..ru@.RU (auth:PROXY) via $J4LB00-3PQ0LQ7EGVSG@.RU (auth:KERBEROS) 2020-02-05 09:37:20,172 INFO ipc.Server (Server.java:doRead(1006)) - Socket Reader #1 for port 8020: readAndProcess from client 10.243.218.16 threw exception [org.apache.hadoop.security.authorize.AuthorizationException: User: $J4LB00-3PQ0LQ7EGVSG@.RU is not allowed to impersonate dn/s--t-..ru@.RU]
那么最有趣的东西是什么 User: $J4LB00-3PQ0LQ7EGVSG@.RU 一样dn/s--t- ..ru 用户但 pre-win 2000 登录名
这是对的事情吗? 还有什么有趣的,我对其他老数据节点没有问题,只有这个。
本周我们 运行 在我们的集群上遇到了完全相同的问题,影响了所有节点!
在第 72 页的 HDP 3.1.4 release notes 中,我们发现了一个关于 Open JDK 8u242:
的已知问题Description of the problem or behavior Open JDK 8u242 is not supported as it causes Kerberos failure. Workaround Use a different version of Open JDK
我们发现我们在本周初升级到 8u242 并降级到 openjdk-8-jdk=8u162-b12-1.
这为我们解决了问题。
降级并不是真正的解决办法。我们遇到了同样的问题所以我在这里报告:https://bugs.launchpad.net/ubuntu/+source/openjdk-8/+bug/1861883
我也向 OpenJDK 错误报告网站报告了此问题(两次),但到目前为止没有任何反应。
感谢您报告此事。我在 HDP 3.1.4 集群上调查了这个问题几个小时,但无法理解发生了什么。降级 JDK 修复了它。
此 OpenJDK 8 242 版本导致了更多问题。我们不得不回滚到 OpenJDK 8u232 for HDF (Nifi) 以及 Nifi 站点到站点连接超时的问题,与 Kerberos 无关。症状是到原始端口的 TCP 会话处于 SYN_RECV.
状态