Kerberos | Cloudera | KrbException: Тип шифрования AES256 Режим CTS с HMAC SHA1-96

Question

Я пытаюсь установить Kerberos для CDH 4.5, который был настроен с помощью установщика Cloudera Manager.

Инструкции по следующей ссылке: http://www.cloudera.com/content/cloudera-content/cloudera-docs/CM4Ent/4.5.2/Configuring-Hadoop-Security-with-Cloudera-Manager/cmeechs_topic_4.html

После настройки и KDC я скопировал политику ОКО для Java 6 файлов по следующему адресу: /usr/java/jdk1.6.0_31/lib/ безопасность/

Ниже мой "/var/kerberos/krb5kdc/kdc.conf" файл:

[kdcdefaults] 
kdc_ports = 88 
kdc_tcp_ports = 88 

[realms] 
MYREALM.COM = { 
    master_key_type = aes256-cts 
    acl_file = /var/kerberos/krb5kdc/kadm5.acl 
    dict_file = /usr/share/dict/words 
    admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab 
    supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal 
} 

Ниже мой файл "/etc/krb5.conf":

[logging] 
default = FILE:/var/log/krb5libs.log 
kdc = FILE:/var/log/krb5kdc.log 
admin_server = FILE:/var/log/kadmind.log 

[libdefaults] 
default_realm = MYREALM.COM 
dns_lookup_realm = false 
dns_lookup_kdc = false 
ticket_lifetime = 24h 
renew_lifetime = 7d 
forwardable = true 

[realms] 
MYREALM.COM = { 
    kdc = node1.hcluster 
    admin_server = node1.hcluster 
} 

[domain_realm] 
.hcluster = MYREALM.COM 
hcluster = MYREALM.COM 

Этот файл присутствует во всех узлах.

Однако после выполнения всех шагов из инструкций все службы не взаимодействуют друг с другом. Ниже исключение из журналов NameNode:

2014-02-05 11:42:35,072 INFO org.apache.hadoop.ipc.Server: IPC Server listener on 8022: readAndProcess threw exception javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)] from client 10.1.3.104. Count of bytes read: 0 
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)] 
     at com.sun.security.sasl.gsskerb.GssKrb5Server.evaluateResponse(GssKrb5Server.java:159) 
     at org.apache.hadoop.ipc.Server$Connection.saslReadAndProcess(Server.java:1250) 
     at org.apache.hadoop.ipc.Server$Connection.readAndProcess(Server.java:1456) 
     at org.apache.hadoop.ipc.Server$Listener.doRead(Server.java:759) 
     at org.apache.hadoop.ipc.Server$Listener$Reader.doRunLoop(Server.java:557) 
     at org.apache.hadoop.ipc.Server$Listener$Reader.run(Server.java:532) 
Caused by: GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled) 
     at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:741) 
     at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:323) 
     at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:267) 
     at com.sun.security.sasl.gsskerb.GssKrb5Server.evaluateResponse(GssKrb5Server.java:137) 
     ... 5 more 
Caused by: KrbException: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled 
     at sun.security.krb5.EncryptionKey.findKey(EncryptionKey.java:481) 
     at sun.security.krb5.KrbApReq.authenticate(KrbApReq.java:260) 
     at sun.security.krb5.KrbApReq.<init>(KrbApReq.java:134) 
     at sun.security.jgss.krb5.InitSecContextToken.<init>(InitSecContextToken.java:79) 
     at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:724) 
     ... 8 more 

Любая помощь очень ценится.

Answer 1

Мне удалось получить помощь от Cloudera и выяснил, что ошибка была в месте расположения банок для политики JCE.

Правильное местонахождение: /usr/java/jdk1.6.0_31/jre/lib/security/.