chrome浏览器使用kerberos spnego(yarn.resourcemanager.webapp.address:8088/cluster)访问yarn资源管理器web UI时,授权失败。
失败显示如下:
"HTTP ERROR 403 Problem accessing /cluster. Reason: GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))"
PS。可以成功访问其他人(namenode,jobhistory 等)Web UI,但是通过带有 kerberos spnego 的 chrome 浏览器访问纱线资源管理器
Hadoop 是 2.5.2
有人可以帮我检查这个问题。
该问题可以通过设置解决:
“yarn.resourcemanager.webapp.delegation-token-auth-filter.enabled=false”
在 Hadoop-2.5.2 的 yarn-site.xml 中
YARNAuthenticationFilter 可以被 webapp 默认请求过滤器链中的“false”值忽略:chain=NoCacheFilter->NoCacheFilter->safety->YARNAuthenticationFilter->authentication->guice->default
一个为:chain=NoCacheFilter->NoCacheFilter->safety->authentication->guice->default
通常,当您没有指示浏览器使用 Kerberos 身份验证连接到某些域时,您在使用 kerberized 集群安装时会得到此信息 - 这对于某些 Hadoop webapps 是必需的。
例如,对于 OSX 上的 Chrome,只需在控制台中输入:
defaults write com.google.Chrome AuthServerWhitelist "*.domain.realm"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.domain.realm"
您的 Kerberos 配置文件domain.realm中的条目在哪里。[domain_realm]/etc/krb5.conf