通过Java API从远程主机访问HDFS,进行用户身份验证
我需要通过Java
API从远程桌面使用HDFS集群。一切正常,直到进行写访问。如果我尝试创建任何文件,则会收到访问权限异常。路径看起来不错,但异常表明我的远程桌面用户名当然不是访问所需HDFS目录所需要的。
问题是:-是否可以使用Java API中的“简单”身份验证来表示不同的用户名?-您能否在hadoop / HDFS中为Java
API示例提供一些关于认证/授权方案的良好解释?
是的,我已经知道在这种情况下可以使用shell别名重载“
whoami”,但是我更喜欢避免这种解决方案。另外,这里的细节是我不喜欢使用某些技巧,例如通过SSH和脚本进行管道传输。我想仅使用Java
API来执行所有操作。先感谢您。
问题答案:
经过研究后,我得出以下解决方案:
- 我实际上并不需要完整的Kerberos解决方案,当前客户端足以运行任何用户的HDFS请求就足够了。环境本身被认为是安全的。
- 这为我提供了基于hadoop UserGroupInformation类的解决方案。将来我可以扩展它以支持Kerberos。
示例代码可能对“伪认证”和远程HDFS访问的人有用:
package org.myorg;
import java.security.PrivilegedExceptionAction;
import org.apache.hadoop.conf.*;
import org.apache.hadoop.security.UserGroupInformation;
import org.apache.hadoop.fs.Path;
import org.apache.hadoop.fs.FileSystem;
import org.apache.hadoop.fs.FileStatus;
public class HdfsTest {
public static void main(String args[]) {
try {
UserGroupInformation ugi
= UserGroupInformation.createRemoteUser("hbase");
ugi.doAs(new PrivilegedExceptionAction<Void>() {
public Void run() throws Exception {
Configuration conf = new Configuration();
conf.set("fs.defaultFS", "hdfs://1.2.3.4:8020/user/hbase");
conf.set("hadoop.job.ugi", "hbase");
FileSystem fs = FileSystem.get(conf);
fs.createNewFile(new Path("/user/hbase/test"));
FileStatus[] status = fs.listStatus(new Path("/user/hbase"));
for(int i=0;i<status.length;i++){
System.out.println(status[i].getPath());
}
return null;
}
});
} catch (Exception e) {
e.printStackTrace();
}
}
}
有类似问题的人的有用参考:
- Cloudera博客文章“ Hadoop中的授权和身份验证 ”。简而言之,集中于对Hadoop安全方法的简单说明。没有特定于Java API解决方案的信息,但是有助于基本了解问题。
更新:
对于那些不需要本地用户而使用命令行hdfs或hadoop实用程序的用户的替代方法:
HADOOP_USER_NAME=hdfs hdfs fs -put /root/MyHadoop/file1.txt /
实际上,您是根据本地权限读取本地文件的,但是在HDFS上放置文件时,您将像user一样经过身份验证hdfs。
这具有与所示的API代码非常相似的属性:
- 您不需要
sudo。 - 您实际上不需要适当的本地用户“ hdfs”。
- 由于之前的要点,您不需要复制任何内容或更改权限。
-
我是Spring安全的新手,我想用数据库验证用户。我已经用jdbc创建了一个登录页面和一个身份验证提供程序,它检查用户是否存在于数据库中。但是我的代码没有这样做的问题是,它允许所有用户登录!我的代码怎么了?谢谢你的帮助。 这是我的安全会议。xml:
-
我有一个react应用程序在一个单独的端口(localhost:3000)上运行,我想用它来验证用户,目前我的Spring后端(localhost:8080)有一个代理设置。 我能以某种方式手动验证而不是通过发送一个请求到我的后端,并获得一个会话cookie,然后在每个请求中包含cookie吗?这也将简化iOS方面的验证过程(使用此过程,我只能将会话cookie值存储在keychain中,并在每次
-
我们在IIS上有一个基于实例的web应用程序,它使用active directory进行身份验证。此web应用具有供远程用户使用的外部公共web地址。 OKTA提供Active directory集成,为Active directory域内的用户同步目录并提供SSO。 但是对于远程用户,据我所知,OKTA可以通过他们的SWA(安全网络应用程序)类型的应用程序提供SSO,但这意味着远程用户使用OKT
-
问题: 我们有一个spring的基于MVC的RESTful API,它包含敏感信息。API应该是安全的,但是不希望在每个请求中发送用户的凭据(User/Pass组合)。根据REST指南(和内部业务需求),服务器必须保持无状态。API将由另一台服务器以混搭方式使用。 要求: > 客户端请求使用凭据(不受保护的URL);服务器返回一个安全令牌,该令牌包含足够的信息,供服务器验证未来的请求并保持无状态。
-
我正在尝试将AWS Cognito(用户池)和AWS DynamoDB用于我的移动应用程序。 我做了以下工作: 在AWS Cognito上创建用户池。 在AWS Cognito上创建身份池,并将用户池ID、应用客户端ID设置为身份验证提供商上的Cognito。 在AWS DynamoDB上创建SampleTable. 设置权限验证角色以访问AWS IAM上的SampleTable。 我创建了以下代
-
问题内容: 我需要从Python脚本访问Jenkins JSON API。问题在于我们的Jenkins安装是安全的,因此登录用户必须选择一个证书。可悲的是,在Jenkins 远程访问文档中,他们没有提及证书,我尝试使用API令牌没有成功。 如何从Python脚本进行身份验证以使用其JSON API? 提前致谢! 问题答案: 您必须使用HTTP基本身份验证向JSON API进行身份验证。 要使脚