Apache Flink 中文用户邮件列表

Flink kerberos环境下多个keytab认证问题

Classic

List

Threaded

3 messages Options

zhangjunjie1130@163.com

Flink kerberos环境下多个keytab认证问题

Flink1.9环境下，搭建Flink on yarn平台，用户之间实现租户/资源隔离，在kerberos环境下运行Flink perjob模式，需要在Flink-conf.yaml中添加：
security.kerberos.login.use-ticket-cache: true
security.kerberos.login.keytab: /home/flink/p_zhangjunjie.keytab
security.kerberos.login.principal: [hidden email]
但是如果多个用户使用Flink环境资源，比如说除了p_zhangjunjie，还是p_wanglin,然后我在Flink-conf.yaml中添加：
security.kerberos.login.use-ticket-cache: true
security.kerberos.login.keytab: /home/flink/p_zhangjunjie.keytab
security.kerberos.login.principal: [hidden email]

security.kerberos.login.use-ticket-cache: true
security.kerberos.login.keytab: /home/flink/p_wanglin.keytab
security.kerberos.login.principal: [hidden email]
但是只有最下面的一个(比如p_wanglin)生效。使用p_zhangjunjie就报错：那如何实现多个keytab用户同时生效呢?

谢谢！麻烦大家帮忙解决一下了。哪怕提供个思路都可以。

[hidden email]

lemon

回复：Flink kerberos环境下多个keytab认证问题

可以试试用户代理吧，不用把所有keytab都加上

---原始邮件---
发件人: "[hidden email]"<[hidden email]>
发送时间: 2020年6月12日(周五) 中午11:37
收件人: "user-zh"<[hidden email]>;
抄送: "zhangjunjie1130"<[hidden email]>;
主题: Flink kerberos环境下多个keytab认证问题

    Flink1.9环境下，搭建Flink on yarn平台，用户之间实现租户/资源隔离，在kerberos环境下运行Flink perjob模式，需要在Flink-conf.yaml中添加：
        security.kerberos.login.use-ticket-cache: true
        security.kerberos.login.keytab: /home/flink/p_zhangjunjie.keytab
        security.kerberos.login.principal: [hidden email]
    但是如果多个用户使用Flink环境资源，比如说除了p_zhangjunjie，还是p_wanglin,然后我在Flink-conf.yaml中添加：
        security.kerberos.login.use-ticket-cache: true
        security.kerberos.login.keytab: /home/flink/p_zhangjunjie.keytab
        security.kerberos.login.principal: [hidden email]

        security.kerberos.login.use-ticket-cache: true
        security.kerberos.login.keytab: /home/flink/p_wanglin.keytab
        security.kerberos.login.principal: [hidden email]
    但是只有最下面的一个(比如p_wanglin)生效。使用p_zhangjunjie就报错：那如何实现多个keytab用户同时生效呢?

谢谢！麻烦大家帮忙解决一下了。哪怕提供个思路都可以。

   

[hidden email]

john

Re: Flink kerberos环境下多个keytab认证问题

In reply to this post by zhangjunjie1130@163.com

不必写在配置文件里，在提交的时候使用 -yD 动态指定参数。-yD <property=value> use value for given property。这个参数可以多个。
另外在提交的时候，可以使用klist命令看下默认的principal是哪个。
使用：kinit -kt xxxx.keytab xxxx 可以更改default principal 也就是切换用户。你可以试下。

> 2020年6月12日上午11:36，[hidden email] 写道：
>
> Flink1.9环境下，搭建Flink on yarn平台，用户之间实现租户/资源隔离，在kerberos环境下运行Flink perjob模式，需要在Flink-conf.yaml中添加：
> security.kerberos.login.use-ticket-cache: true
> security.kerberos.login.keytab: /home/flink/p_zhangjunjie.keytab
> security.kerberos.login.principal: [hidden email]
> 但是如果多个用户使用Flink环境资源，比如说除了p_zhangjunjie，还是p_wanglin,然后我在Flink-conf.yaml中添加：
> security.kerberos.login.use-ticket-cache: true
> security.kerberos.login.keytab: /home/flink/p_zhangjunjie.keytab
> security.kerberos.login.principal: [hidden email]
>
> security.kerberos.login.use-ticket-cache: true
> security.kerberos.login.keytab: /home/flink/p_wanglin.keytab
> security.kerberos.login.principal: [hidden email]
> 但是只有最下面的一个(比如p_wanglin)生效。使用p_zhangjunjie就报错：那如何实现多个keytab用户同时生效呢?
>
> 谢谢！麻烦大家帮忙解决一下了。哪怕提供个思路都可以。
>
>
>
>
>
> [hidden email]