Kerberized群集中的Spark历史记录服务器身份验证
我建立了一个HDP集群,其中包含Spark。我还为群集启用了Kerberos,因此所有服务和用户都必须通过其主体进行身份验证。
这似乎工作正常,所有服务都在运行,并且用户必须先获得有效的Kerberos票证才能访问例如YARN ResourceManager的Web UI。
否则他会收到如下错误消息:
但是,在kinit之后,用户可以访问该网站。
我现在想做的事情(我认为已经是这样),也是为了保护Spark History Server UI,以便用户必须通过Kerberos票证进行身份验证。实际上每个人都可以在没有身份验证的情
是否有可能这样做?如果是,我该如何配置?
spark.eventLog.dir = hdfs:///spark-history的实际权限为777。这里是Ambari HDFS视图的屏幕截图:
1 个答案:
答案 0 :(得分:2)
您为Kerberos / SPNEGO重用Hadoop的jetty身份验证过滤器org.apache.hadoop.security.authentication.server.AuthenticationFilter
您可以通过设置Spark的default.conf来完成此操作
spark.ui.filters=org.apache.hadoop.security.authentication.server.AuthenticationFilter
和
spark.org.apache.hadoop.security.authentication.server.AuthenticationFilter.params=
type=kerberos,kerberos.principal=${spnego_principal_name},kerberos.keytab=${spnego_keytab_path}
小心那些替换变量,在Ambari中设置这些值时它们对我不起作用。另外,请考虑添加cookie.domain和signature.secret.file,与其他Hadoop SPNEGO配置类似。
显然,这仅在Spark History Server在其类路径中使用Hadoop类运行时才有效 - 因此它不是SMACK-stack的开箱即用解决方案。
- 独立群集模式的Spark历史记录
- 在Kerberized Cluster中的Spark Application中读取HDFS文件
- Kerberized群集中的Spark历史记录服务器身份验证
- Java:在kerberized hadoop集群上访问作业历史服务器和应用程序时间线服务器?
- 运行Spark作业以查询Kerberized集群中的Hive HBase表
- 在kerberized集群
- 无法在kerberized群集
- 带有CDH Kerberized集群的Apache Toree Scala
- 无法使用IntelliJ在本地连接到HDFS kerberized群集
- 从Spark集群持久化到Kerberized HDFS
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?