kerberos问题汇总

 

1. impala daemon启动失败

Could not read the root directory at hdfs://duan139:8020. Error was: 
User impala/duan140@HADOOP.COM (auth:KERBEROS) is not authorized for protocol interface org.apache.hadoop.hdfs.protocol.ClientProtocol: denied by configured ACL

　　

在HDFS中配置授权的用户，添加impala，另外添加hdfs，hive，yarn，zookeeper，mapred。

　

2. 无法链接impala daemon（Could not connect to duan140:21000）

 查看/var/log/impalad/impalad.INFO：

Couldn't open transport for duan139:24000 (SASL(-4): no mechanism available: No worthy mechs found)

检查impala 运行状态：

该 Catalog Server 当前未连接至其 StateStore。

该 Impala Daemon 当前未连接至其 StateStore

日志：SASL message (Kerberos (internal)): No worthy mechs found

yum install cyrus-sasl-plain  cyrus-sasl-devel  cyrus-sasl-gssapi

 

3. HDFS配置启用Spnego后，访问namenode的webUI接口（50070）出现错误：

GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)

问题原因：在SPNEGO身份验证期间：服务器不接受客户端提供的令牌。
解决办法：(1)JDK版本不对，网上说法8u40不适用，推荐8u60.
　　　　　(2) JDK未扩展加密措施,下载jce_policy-8.zip,将其中的两个jar包放入%JAVA_HOME%/jre/lib/securety/中。
然而，没有解决。解决方案详见博客：。