无法从kerberos下的资源管理器webapp进行授权

dfddblmv  于 2021-05-30  发布在  Hadoop
关注(0)|答案(2)|浏览(784)

使用kerberos spnego(yarn.resourcemanager.webapp)的chrome浏览器访问yarn resource manager web ui时发生授权失败。address:8088/cluster).
故障表现为:

"HTTP ERROR 403 Problem accessing /cluster. Reason: GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))"

另外,它可以成功地访问其他(namenode、jobhistory等)web用户界面,但是可以通过带有kerberos spnego的chrome浏览器访问资源管理器
hadoop是2.5.2
有人能帮我检查一下这个问题吗。

vuktfyat

vuktfyat1#

可以通过设置以下选项来解决问题:
“yarn.resourcemanager.webapp.delegation token auth filter.enabled=false”
在hadoop-2.5.2的yarn-site.xml中
yarnauthenticationfilter可以被webapp默认请求筛选器链中的“false”值忽略:chain=nocachefilter->nocachefilter->safety->yarnauthenticationfilter->authentication->guice->default
设置为:chain=nocachefilter->nocachefilter->safety->authentication->guice->default

6ju8rftf

6ju8rftf2#

通常,在使用kerberized集群安装时,当您没有指示浏览器使用连接到某些域的kerberos身份验证时,您会遇到这种情况—这对于某些hadoop webapps是必需的。
例如,对于osx上的chrome,只需在控制台中键入:
defaults write com.google.Chrome AuthServerWhitelist "*.domain.realm" defaults write com.google.Chrome AuthNegotiateDelegateWhitelist  "*.domain.realm" 哪里 domain.realm[domain_realm] 来自kerberos配置文件的条目 /etc/krb5.conf .

相关问题