为了更快的定位您的问题,请提供以下信息,谢谢
【详述】
在已启用 Kerberos + Hive 认证的 StarRocks 社区版集群中,集成 Apache Ranger 时出现认证失败,导致 Ranger 策略无法下发至 StarRocks。
具体表现为:
RangerAdminRESTClient 尝试使用 Kerberos TGT 缓存文件( /tmp/krb5cc_0 )进行认证时返回 401 Authentication Failed ,删除该缓存文件后 Ranger 可正常工作,但HiveCatalog失效。
【背景】已集成Kerberros+HIVE+kinit的集群 再配置Ranger不成功
【业务影响】已集成Kerberos+Hive的社区版Starrocks,无法做Ranger权限管控
【是否存算分离】否
【StarRocks版本】3.3.5/3.2.16/3.1.16 都存在
【集群规模】1fe/1be
【机器信息】CPU虚拟核/内存/网卡,例如:48C/64G/万兆
【联系方式】社区群4-KKK
【附件】
复现:
1:kinit -kt /opt/StarRocks/kerberos/dp_admin_zsc.keytab dp_admin 产生TGT
2:TGT缓存文件
[root@t-sr-strocks-ver-001 log]# ll /tmp/krb5cc_0
-rw-------. 1 root root 514 Jun 12 14:45 /tmp/krb5cc_0
3:RangerAdminRESTClient 默认会使用TGT缓存文件
2025-06-10 16:12:53.732+08:00 WARN (main|1) [RangerAdminRESTClient.getRolesIfUpdatedWithCred():1217] Error getting Roles. secureMode=true, user=dp_admin@HDP.COM (auth:KERBEROS), response={“httpStatusCode”:401,"
statusCode":401,“msgDesc”:“Authentication Failed”}, serviceName=starrocks203
删除/tmp/krb5cc_0
重启fe,一切正常,但是kerberos+hive 无法使用
