https://eubnara.github.io/ko/tags/spnego/Recent content in Spnego on EUB's second brainHugo -- 0.162.1ko-krSun, 05 Feb 2023 16:01:17 +0900https://eubnara.github.io/ko/computer-science/hadoop/spnego-request-is-a-replay/Sun, 05 Feb 2023 16:01:17 +0900https://eubnara.github.io/ko/computer-science/hadoop/spnego-request-is-a-replay/<ul> <li>참고 <ul> <li><a href="https://docs.cloudera.com/cloudera-manager/7.5.5/security-troubleshooting/cm-security-troubleshooting.pdf">https://docs.cloudera.com/cloudera-manager/7.5.5/security-troubleshooting/cm-security-troubleshooting.pdf</a></li> <li><a href="https://search-guard.com/elasticsearch-kibana-kerberos/">https://search-guard.com/elasticsearch-kibana-kerberos/</a></li> </ul> </li> </ul> <p>Hadoop 데몬(NameNode, DataNode, JournalNode, ResourceManager, NodeManager 등)이 동일한 kerberos keytab(<code>/etc/security/keytabs/spnego.service.keytab</code>)과 principal(<code>HTTP/_HOST@{REALM}</code>)을 공유하기 때문에 발생하는 문제로 추정된다. 특정 상황에서 DataNode가 이를 replay attack으로 오판한다.</p> <p>다음 JVM 시스템 속성을 Hadoop 데몬에 추가하면 해결된다. Java 프로세스가 replay cache를 사용하지 않게 된다.</p> <pre tabindex="0"><code>-Dsun.security.krb5.rcache=none </code></pre>