找文章 / 找答案
精选问答 更多内容

[可视化] 永洪BI Kerberos认证配置

寻找新技能 显示全部楼层 发表于 2021-4-7 16:15:31 |阅读模式 打印 上一主题 下一主题

1 永洪BI数据源的Kerberos连接需要填写4项信息

1.1 密钥文件路径:必填项,相当于是password,是一个keytab文件,由KDC主机生成,用于永洪BI和KDC主机通信。

1.2 Krb5文件路径:非必填项,krb5文件配置了默认Realm,KDC主机信息等,用于永洪BI和KDC主机通信。

如果该项没有填写,检{JDK/JRE安装目录}/lib/security/krb5.conf 文件是否存在,如果存在使用该文件。

如果上面的文件没找到,检查操作系统目录下的krb5配置文件,不同的操作系统文件路径不同(以下路径供参考)。

Linux /etc/krb5.conf 文件

Windows C:\windows\system32\krb5.ini

如果文件存在,使用该文件。如果文件不存在,产品会提示 Cannot locate default realm

1.3 Jaas文件路径:非必填项,永洪BI会根据改文件的配置信息从KDC主机获取用于和Server通信的TGT。

如果该项没有填写,永洪BI会使用操作系统缓存的ticket和server 进行通信,如果系统没有缓存,永洪BI会提示Unable to obtain Principal Name for authentication。

1.4 用户名:必填项,用于永洪BI和KDC主机通信,Kerberos的principal。如果在krb5文件中指定了default_realm,此处可以省略realm,例如 yh/cdh-1-232@HADOOP.COM 可以写为 yh/cdh-1-232。

2 连接hive注意事项:

默认情况下 Hive数据库服务器中 hive.server2.thrift.sasl.qop属性默认值是auth(CDH 安装的Hive使用的是默认值)。

永洪BI在连接hive时,发现如果url上没有附带sasl.qop(saslQop),会自动添加sasl.qop=auth-conf(驱动默认), 这就造成了永洪BI和Hive数据库服务器加密不一致。此时产品会提示 No common protection layer between client and server需要将sasl.qop(saslQop)和hive.server2.thrift.sasl.qop 保持一致。

3 使用Impala驱动连接Impala注意事项

url中需要附加AuthMech =1,如果url中没有AuthMech,产品提示[Simba][ImpalaJDBCDriver](500151) Error setting/closing session: {0}.

impala JDBC连接参数参考以下连接:

https://www.simba.com/products/Hive/doc/JDBC_InstallGuide/content/jdbc/hi/options/intro-auth.htm

4 永洪BI Kerberos Hive 连接流程

永洪BI利用Kerberos 和 Hive 数据库连接的步骤可以简述如下:

1、永洪BI 用数据源中配置认证信息 建立和 KDC 主机的通信。KDC对永洪BI认证通过后提供访问hive的ticket给永洪BI。

2、永洪BI使用 ticket和 url 中提供的认证信息连接 Hive 数据库。

回复

使用道具 举报

高级模式
您需要登录后才可以回帖 登录 | 免费注册

  • 官方微信

    欢迎关注永洪服务号!收费为0,价值无限

    扫码关注
  • 新浪微博

    让每位用户轻松挖掘数据价值!

    访问新浪微博
  • 智能客服
50W

会员等你来哦

Copyright   ©2012-2024  北京永洪商智科技有限公司  (京ICP备12050607) 京公网安备110110802011451号 |《永洪社区协议》
返回顶部