1 永洪BI数据源的Kerberos连接需要填写4项信息
1.1 密钥文件路径:必填项,相当于是password,是一个keytab文件,由KDC主机生成,用于永洪BI和KDC主机通信。
1.2 Krb5文件路径:非必填项,krb5文件配置了默认Realm,KDC主机信息等,用于永洪BI和KDC主机通信。
如果该项没有填写,检{JDK/JRE安装目录}/lib/security/krb5.conf 文件是否存在,如果存在使用该文件。
如果上面的文件没找到,检查操作系统目录下的krb5配置文件,不同的操作系统文件路径不同(以下路径供参考)。
Linux /etc/krb5.conf 文件
Windows C:\windows\system32\krb5.ini
如果文件存在,使用该文件。如果文件不存在,产品会提示 Cannot locate default realm。
1.3 Jaas文件路径:非必填项,永洪BI会根据改文件的配置信息从KDC主机获取用于和Server通信的TGT。
如果该项没有填写,永洪BI会使用操作系统缓存的ticket和server 进行通信,如果系统没有缓存,永洪BI会提示Unable to obtain Principal Name for authentication。
1.4 用户名:必填项,用于永洪BI和KDC主机通信,Kerberos的principal。如果在krb5文件中指定了default_realm,此处可以省略realm,例如 yh/cdh-1-232@HADOOP.COM 可以写为 yh/cdh-1-232。
2 连接hive注意事项:
默认情况下 Hive数据库服务器中 hive.server2.thrift.sasl.qop属性默认值是auth(CDH 安装的Hive使用的是默认值)。
永洪BI在连接hive时,发现如果url上没有附带sasl.qop(saslQop),会自动添加sasl.qop=auth-conf(驱动默认), 这就造成了永洪BI和Hive数据库服务器加密不一致。此时产品会提示 No common protection layer between client and server,需要将sasl.qop(saslQop)和hive.server2.thrift.sasl.qop 保持一致。
3 使用Impala驱动连接Impala注意事项
url中需要附加AuthMech =1,如果url中没有AuthMech,产品提示[Simba][ImpalaJDBCDriver](500151) Error setting/closing session: {0}.
impala JDBC连接参数参考以下连接:
https://www.simba.com/products/Hive/doc/JDBC_InstallGuide/content/jdbc/hi/options/intro-auth.htm
4 永洪BI Kerberos Hive 连接流程
永洪BI利用Kerberos 和 Hive 数据库连接的步骤可以简述如下:
1、永洪BI 用数据源中配置认证信息 建立和 KDC 主机的通信。KDC对永洪BI认证通过后提供访问hive的ticket给永洪BI。
2、永洪BI使用 ticket和 url 中提供的认证信息连接 Hive 数据库。
欢迎光临 永洪社区 (https://club.yonghongtech.com/) | Powered by Discuz! X3.4 |