Kyuubi 认证机制中同时启用 KERBEROS 和 LDAP 的问题分析

在 Apache Kyuubi 项目中，当尝试同时启用 KERBEROS 和 LDAP 两种认证方式时，系统会出现认证失败的问题。这个问题主要影响 Kyuubi 1.9.0 和 1.9.1 版本，表现为客户端无法通过 Zookeeper 发现服务并与 Thrift 服务器建立连接。

问题现象

当管理员在 Kyuubi 服务器配置中同时设置 kyuubi.authentication=KERBEROS,LDAP 时，客户端连接会出现以下错误：

1. 用户执行 kinit user01 命令进行 Kerberos 认证
2. 使用 beeline 客户端连接 Kyuubi 服务时
3. 系统报错："Unable to read HiveServer2 configs from Zookeeper"
4. 最终错误提示："Error validating LDAP user: uid=anonymous"

根本原因分析

经过深入排查，发现问题主要出在两个关键组件上：

1. ZookeeperDiscoveryClient 组件：在 addConfsToPublish() 方法中，没有正确设置 hive.server2.authentication.kerberos.principal 参数。这个参数对于 Kerberos 认证至关重要，它指定了服务主体的名称。

2. HiveSiteHS2ConnectionFileParser 组件：在 addKerberos() 方法中，同样缺少了对 principal 参数的设置。这个参数需要在客户端连接时提供给服务端进行 Kerberos 认证。

由于这两个关键参数缺失，系统在尝试同时使用两种认证方式时，Kerberos 认证无法正常工作，导致认证流程回退到 LDAP 认证。而 LDAP 认证又无法正确处理匿名用户，最终导致了认证失败。

技术影响

这个问题对系统的影响主要体现在：

1. 认证流程中断：客户端无法完成正常的认证流程，导致连接建立失败。
2. 功能限制：管理员无法同时利用 Kerberos 和 LDAP 两种认证方式的优势。
3. 用户体验下降：用户会收到不明确的错误信息，难以自行排查问题。

解决方案

该问题已在代码提交 8f147f9 中得到修复。修复方案主要包括：

1. 在 ZookeeperDiscoveryClient 组件中正确设置 Kerberos 认证所需的所有参数
2. 确保 HiveSiteHS2ConnectionFileParser 组件能够完整传递 Kerberos 认证信息
3. 完善两种认证方式同时启用时的处理逻辑

对于使用受影响版本的用户，建议升级到包含该修复的版本，或者手动应用相关补丁。

最佳实践

在生产环境中同时启用多种认证方式时，建议：

1. 仔细测试每种认证方式的单独工作情况
2. 逐步引入多种认证方式，观察系统行为
3. 确保所有必要的认证参数都已正确配置
4. 监控认证日志，及时发现潜在问题

通过理解这个问题的本质和解决方案，管理员可以更好地规划和管理 Kyuubi 的认证机制，确保系统安全稳定运行。