使用kerberos spnego(yarn.resourcemanager.webapp)的chrome浏览器访问yarn resource manager web ui时发生授权失败。address:8088/cluster).
故障表现为:
"HTTP ERROR 403 Problem accessing /cluster. Reason: GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))"
另外,它可以成功地访问其他(namenode、jobhistory等)web用户界面,但是可以通过带有kerberos spnego的chrome浏览器访问资源管理器
hadoop是2.5.2
有人能帮我检查一下这个问题吗。
2条答案
按热度按时间vuktfyat1#
可以通过设置以下选项来解决问题:
“yarn.resourcemanager.webapp.delegation token auth filter.enabled=false”
在hadoop-2.5.2的yarn-site.xml中
yarnauthenticationfilter可以被webapp默认请求筛选器链中的“false”值忽略:chain=nocachefilter->nocachefilter->safety->yarnauthenticationfilter->authentication->guice->default
设置为:chain=nocachefilter->nocachefilter->safety->authentication->guice->default
6ju8rftf2#
通常,在使用kerberized集群安装时,当您没有指示浏览器使用连接到某些域的kerberos身份验证时,您会遇到这种情况—这对于某些hadoop webapps是必需的。
例如,对于osx上的chrome,只需在控制台中键入:
defaults write com.google.Chrome AuthServerWhitelist "*.domain.realm"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.domain.realm"
哪里domain.realm
是[domain_realm]
来自kerberos配置文件的条目/etc/krb5.conf
.