【大数据安全-Kerberos】Kerberos常见问题及解决方案_gss initiate failed(2)

最新推荐文章于 2025-04-06 10:26:17 发布
最新推荐文章于 2025-04-06 10:26:17 发布
阅读量1.2k 收藏 10
点赞数 14
分类专栏: 程序员 文章标签: 大数据 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_82243318/article/details/138880347
版权

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化资料的朋友,可以戳这里获取

  • 运行 Cloudera Manager主机检查器 以收集有关主机网络和DNS的信息

从Cloudera Manager中,导航到 管理>安全性 ,然后单击 导入Kerberos帐户管理器凭据以将管理凭据重新导入到Cloudera Manager中。

GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)

确保主机名解析为与KDC和其他服务通信的服务的IP。查看:错误:访问Oozie WebUI时出现“ HTTP状态401”
至少升级到JDK8的51更新

GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))]

  • 对每个服务/主机组合使用唯一的Principal。例如,使用myservice/host123.example.com@EXAMPLE.COM,而不是myservice@EXAMPLE.COM。
  • 确保已安装并运行网络时间协议(NTP),以便同步所有主机时钟

请参阅 《 Cloudera Security:对身份验证问题进行故障排除》

GSSException: No valid credentials provided (Mechanism level: Integrity check on decrypted field failed (31) - PROCESS_TGS)]; Host Details : local host is: “myhost61.mycompany.com/10.XX.XX.XXX”; destination host is: “myhost002.mycompany.com”:8020;

Caused by: KrbException: Identifier doesn’t match expected value (906)

  • 确认所有主机上的krb5.conf设置都将查找引用到正确的KDC
  • 对于涉及在群集之间进行复制的方案,请对两个领域使用一个KDC,或者在其中一个群集上更改领域名称,然后重新创建所有Principal

2.2.kinit 异常

kinit: KDC cannot fulfill requested option while renewing credentials

  • 已请求续订有效期为零的票证。如果在 kinit 命令中未指定,则生存期将从 krb5.conf 中获取,如果不存在 renew_lifetime,则生存期默认为零。
  • 您的 KDC 上的 krbtgt 服务 Principal 的更新生命周期为0。

kinit: Cannot contact any KDC for realm ‘EXAMPLE.COM’ while getting initial credentials

  • 客户端和KDC之间的网络问题
  • krb5.conf中的KDC详细信息不正确

KDC: no supported encryption type

  • 在krb5.conf中定义的加密类型(如果部署了由Cloudera Manager集成的Cloudera Manager的Kerberos)不匹配您的KDC提供的加密类型
  • KDC中配置的Principal的加密类型和krb5.conf中的加密类型不匹配
  • 群集已配置为仅支持128/256位加密,但是尚未为AD中的Principal启用此功能。

注意:

从Cloudera Manager5.4.2开始,默认情况下未完成此操作。

kinit: KDC has no support for encryption type while getting initial credentials或者 KDC has no support for encryption type (14) - BAD_ENCRYPTION_TYPE

尝试在Cloudera Manager中导入Kerberos帐户管理器凭据时,或者在KDC中配置与tgtPrincipal中存在的加密类型不匹配的加密类型(例如krbtgt/CLOUDERA@CLOUDERA)之后,使用向导启用Kerberos时,您可能会看到此错误。同时启动服务,其中在

最低0.47元/天 解锁文章
【kafka】GSS initiate failed credentials provided This may be caused by Java AUTHENTICATION_FAILED
九师兄
08-05 1293
zookeeper默认使用 zookeeper 作为服务名称,如果你想改变它,那么可以使用。-Dzookeeper.sasl.client.username=zk 来指定它。今天操作一个kerberos认证的环境,然后运行kafka消费者的时候报错。但是流任务启动报错,构建kafka配置的时候如下。然后重新配置后,就不报错这个了,但是又报错。然后验证kafka控制台也是正常的。首先kafka验证是正常的。后来在源码中找到解决方案。...
大数据安全-KerberosKerberos常见问题解决方案
weixin_53543905的博客
04-04 1万+
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
DataGrip 连接 Kerberos 认证的 hive 报 Hive JDBC Kerberose Authentication Error: GSS initiate failed 错误
u011307484的博客
02-05 7169
版本:hive-3.1.2 问题描述: 使用工具连接 hive 时,报如下错误: The specified database user/password combination is rejected: [ 08S01] Could not open client transport with JDBC Uri: jdbc:hive2://singlenode:10000/;principal=hive/singlenode@EXAMPLE.COM: GSS initiate failed org.ap
大数据系列之:Kerberos
最新发布
zhengzaifeidelushang的博客
04-06 1175
Kerberos 是一种强而复杂的认证协议,能够有效保护网络资源不受未授权访问。通过使用对称密钥加密和时间同步机制,Kerberos 提供了高效且安全的身份验证服务。
keyberos认证问题导致GSS initiate failed
weixin_37933207的博客
11-15 3万+
背景:实施过程中需要./XX.sh 用来提交到大数据平台yarn上进行分析场景的任务提示了下列报错。 javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any K...
CDH启用kerberos认证问题导致GSS initiate failed
jaysen1005的博客
03-20 1万+
问题描述:CDH启用Kerberos后使用beeline连接HiveServer2出错,错误信息如下: 解决方案: 先进入CM管理界面,停止hive 然后在管理->安全界面点击Kerberos凭据 在主体中找到hive所依赖的凭据,勾选后重新生成所选项。 生成凭据 然后启动hive,验证成功! 问题解决!!! ...
org.apache.thrift.transport.TTransportException: GSS initiate failed
weixin_44904163的博客
03-07 4746
kerberos认证的票据可能已经失效了,重新再认证一下 建议写个定时脚本来执行认证 [root@xxxx] # kinit -kt xxxx.keytab xxxx@HADOOP.COM [root@xxxx] # klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: xxxx@HADOOP.COM ........ ...
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed
2401_84573531的博客
05-15 1359
请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。从Cloudera Manager中,导航到 管理>安全性 ,然后单击 导入Kerberos帐户管理器凭据以将管理凭据重新导入到Cloudera Manager中。确保主机名解析为与KDC和其他服务通信的服务的IP。查看:错误:访问Oozie WebUI时出现“ HTTP状态401”
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(4)
2301_82243318的博客
05-15 1079
此消息表明一个操作尝试要求以 Kerberos 的 user/host@realm 身份认证的操作,但票据 cache 中没有用于 user/host@realm 的票据。hostname或要访问的URL与keytab中列出的主机之间发生主机名不匹配。网络连接问题,可能是由于使用UDP与KDC通信引起的尝试使用请求的KDC中存在的keytab中的Principal名称来kinit,但该keytab是从其他KDC生成的。
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(3)
2301_82243318的博客
05-15 1565
尝试使用请求的KDC中存在的keytab中的Principal名称来kinit,但该keytab是从其他KDC生成的。尝试在使用Kerberos的群集(例如throughBDR)之间复制数据时,这两个群集都使用相同的领域名称,但使用不同的KDC如果正向和反向DNS解析不一致,则会发生这种情况。请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。
kerberos GSS initiate failed认证失败的原因及解决方案
炼数成器
12-29 4490
这就导致同一任务可能会并发执行kinit操作,而 kerberos Ticket Cache文件存储在/tmp目录下,文件名为krb5cc_{uid},其中uid为用户标识号。因为同一OS用户下的多个脚本共享相同的uid,由于并发kinit操作,不同的认证可能会覆盖同一个uid下的Ticket Cache文件,导致Kerberos认证信息串掉。环境变量为每个Kerberos用户指定独立的Ticket Cache文件,解决并发执行脚本时Ticket Cache文件被覆盖的问题。通过在Shell脚本中设置。
spark_windows_sasl_gss_initiate_failed
u012075079的专栏
04-08 431
本地Windows 环境 连接cdh 6.3.2 hive2.1.1, 集群hadoop 版本3.0.0-cdh6.3.2 本地windows hadoop 版本2.7.7 出现如上错误。 尝试解决办法: 之前cdh hadoop版本为2.7的时候,windows远程连接是正常的。 排查日志(主要是cloudera manager namenode日志)发现,是因为hadoop 版本升级导致的,之前hadoop版本是2.7,中间有人升级到了hadoop3.0. namenode中的提示日志如下: .
spark-sql启动报错GSS initiate failed
我怀念的是-无话不说的博客
01-30 7994
18/01/30 13:21:14 WARN Client: Exception encountered while connecting to the server : javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mec...
HBASE请求返回认证失败:GSS initiate failed
a2342243的博客
04-23 1281
bigdata5是老HBASE的地址映射 , THD5是新HBASE的地址, 我们前端时间做的升级,访问时访问的地址thh05但是中间去hosts映射时,却发生了冲突.这里之前被疏忽了,看到只是WARN , 以为不是什么重要提示,下图为bigdata5的出处。其中底部一直提示IO异常,对这个IP和端口尝试ping 和 telnet,结果能够访问,删除hosts中同IP的老HBASE映射 , 通过测试, 可以正常访问Hbase数据了。
关于hadoop+kerberos安全认证问题的报错GSS initiate failed 解决
热门推荐
狐狸叫
09-22 3万+
STARTUP_MSG: Starting DataNode STARTUP_MSG:   host = cucrz-6/192.168.20.206 STARTUP_MSG:   args = [] STARTUP_MSG:   version = 1.2.1 STARTUP_MSG:   build = https://svn.apache.org/repos/asf/hadoop
GSS initate failied
娜然的专栏
06-29 1879
环境:win10+MIT Kerberos Ticket Manager+DBeaver 访问hive 报错: 解决过程:发现MIT Kerberos Ticket Manager的登录过期了,然后重新登录。结果dbeaver连接hive还是报错 解决:经过一圈的配置检查,没有发现问题,最后重启了一下dbeaver,就可以了。 ...
javax.security.sasl.SaslException: GSS initiate failed
m0_60725291的博客
08-05 5630
详情如下: ``` javax.security.sasl.SaslException: An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Clock skew too great (37) - P
解决macbook中访问 HDFS 时 kerberos 认证失败问题
骑着蜗牛向前跑的博客
06-08 1207
已经确定的是 macbook 上的大数据文件配置和 kerberos 认证文件全都正确。异常日志显示是找不到 Kerberos tgt 服务。查资料发现找不到 tgt 的原因很多,提出修改 JDK 配置甚至是重启大数据集群,明显不靠谱。访问 HDFS 是没有问题的。备注:上述方式缓存的认证信息使用。服务器将认证信息缓存在文件中,hadoop 访问 HDFS。是不能查看和删除的。重新认证并缓存在文件中。查看缓存的认证信息。
Could not open client transport for any of the Server URI's in ZooKeeper: GSS initiate failed
05-13
这个错误通常是由于Kerberos认证失败引起的。Kerberos是一种网络认证协议,...如果以上步骤无法解决问题,你可以在ZooKeeper配置文件中禁用Kerberos认证,然后重新启动ZooKeeper服务。但是,这样做会降低系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值