最近在搭建Hbase 服务时,服务无法启动,于是决定将 hbase 服务删除,在当删除 zookeeper 的 /hbase 节点时报错,报 thentication is not valid : /hbase/tokenauth 。
看到网上大部分的文章都是使用跳过 ACL 或者 开启 super 模式这两种方式,于是比较好奇有没有第三种解,这里整理并记录一下。
zookeeper-client -server `hostname`:2181
rmr /hbase
Authentication is not valid : /hbase/tokenauth
这里将三种方式都列出来。
在CM -> Zookeeper -> Configuration -> "ZooKeeper Service Environment Advanced Configuration Snippet (Safety Valve)"
添加如下配置
-Dzookeeper.skipACL=true
Super模式,顾名思义就是超级用户的意思,为管理员所使用,这也是一种特殊的 Digest 模式。在 Super 模式下,超级用户可以对任意 ZooKeeper 上的数据节点进行任何操作,不会被任何节点的 ACL 所限制。
找到 /bin/zkServer.sh 文件。添加如下:
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:zUZ0bpqYS7FucDXsnUgxOWTto1s=
其中,super 代表了一个超级管理员的用户名;zUZ0bpqYS7FucDXsnUgxOWTto1s= 是由 ZooKeeper 的系统管理员自主配置密码的两次编码处理后的密文,此例中使用的是 super:root 的编码。
以上两种方式,其实都不是正常的解决方式,一种时跳过 ACL 认证,一种是添加一个super 账号,来强制删除。那么正常的认证方式到底时如何的。
Client {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="/path/to/client/keytab"
storeKey=true
useTicketCache=false
principal="hbase@TEST.com";
};
export CLIENT_JVMFLAGS="-Djava.security.auth.login.config=/path/jaas.conf"
zookeeper-client -server `hostname`:2181
getAcl /hbase/tokenauth
'sasl,' hbase
: cdrwa
SASL 身份验证方案与某些其他方案的不同之处在于,如果方案是sasl,则addauth 命令无效。这是因为身份验证是在连接后立即使用启用 SASL 的令牌交换执行的,而不是像 addauth 那样在连接后的任何时间发生。
相关链接
http://smartsi.club/zookeeper-acl-access-permission-control-mechanism.htmlhttps://cwiki.apache.org/confluence/display/ZOOKEEPER/Client-Server+mutual+authentication