當使用kerberos spnego(yarn.resourcemanager.webapp.address:8088 /集羣)通過chrome瀏覽器訪問紗線資源管理器Web UI時,授權失敗。未通過kerberos授權的紗線資源管理器webapp
故障示像:
"HTTP ERROR 403 Problem accessing /cluster. Reason: GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))"
PS。它成功地將接入他人(名稱節點,jobhistory等)的Web用戶界面,但紗線資源管理器通過Chrome瀏覽器使用Kerberos SPNEGO
Hadoop是2.5.2
五月有人幫我檢查這個問題。
的問題可以通過設置來解決:在Hadoop的2.5的紗線的site.xml
「yarn.resourcemanager.webapp.delegation令牌-AUTH-filter.enabled =假」
。 2
的YARNAuthenticationFilter可以通過從web應用默認請求過濾器鏈 「假」 值被忽略:鏈= NoCacheFilter-> NoCacheFilter->安全 - > YARNAuthenticationFilter->身份驗證 - > guice->默認
到一個爲:chain = NoCacheFilter-> NoC acheFilter-> safety-> authentication-> guice-> default
當你沒有指示你的瀏覽器使用連接到某些域的Kerberos認證時,你通常會在使用kerberized羣集安裝時得到這個 - 這是一些Hadoop需要的web應用。
使用Chrome OSX上,例如只需鍵入您的控制檯:
defaults write com.google.Chrome AuthServerWhitelist "*.domain.realm"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.domain.realm"
其中domain.realm是從您的Kerberos配置文件/etc/krb5.conf的[domain_realm]條目。