【大数据安全-Kerberos】Kerberos常见问题及解决方案_gss initiate failed

于 2024-05-15 02:36:41 发布
阅读量1.3k 收藏 17
点赞数 26
分类专栏: 程序员 文章标签: 大数据 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84573531/article/details/138880406
版权

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化资料的朋友,可以戳这里获取

javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided Mechanism level: Failed to find any Kerberos TGT]

  • 确保策略文件存在并且可由当前用户访问。cksum将文件与已知的工作副本进行比较,并在必要时进行替换:

$JAVA_HOME/jre/lib/security/US_export_policy.jar

$JAVA_HOME/jre/lib/security/local_policy.jar

  • 确保为KDC和Principal设置了最大可再生寿命。请参阅知识文章, Impala服务无法以错误开头:“未能找到任何Kerberos tgt”
  • 检查服务的配置,其中包含用户可以模拟其他用户的条目。通常列为proxyusers或类似配置。
  • 升级到CDH 5.3。

注意:请参阅以下知识文章:

  • HBase Canary测试无法更新导致HBase的Kerberos票证:SASL身份验证失败消息
  • HiveServer2定期无法使用Sentry运行查询
  • 通过Cloudera Manager为指定用户生成凭证。
  • 以具有执行所需命令权限的用户身份运行kinit
  • 更新JDK。请参阅《Cloudera Security:身份验证问题故障排除》
  • 安装JDK 8版本51或更高版本

javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to create credential. (63) - No service creds)]

  • 升级JDK:Cross Realm Authentication with Cluster Services Fail with GSS error (63) due to KRB/JDK 6 Bug
  • 切换到TCP通过以下设置在krb5.conf中:udp_preference_limit = 1
  • 确保存在krb5.conf的[domain_realm]节中的任一条目,以将请求的Principal的主机映射到Kerberos领域,或者确保[libdefaults]中的default_realm条目存在且与该Principal匹配

请参阅 《Cloudera Security:身份验证问题故障排除》

org.apache.hadoop.security.authentication.client.AuthenticationException: /GSSException: Failure unspecified at GSS-API level (Mechanism level: Specified version of key is not available (44))

  • 用户或服务正在尝试使用旧的 Kerberos keytab 进行身份验证。
  • 自发布此 keytab 以来,有人重新生成了 Principal,从而使 key 的版本值增加了。如果有人使用 Cloudera Manager 重新生成 key 但不重新启动服务,或者对于尚未分发新 keytab 的手动配置,可能会发生这种情况。
  • 某些服务需要一些密钥,例如 MapReduce / HDFS 需要 HTTP 密钥。如果重新生成了 HDFS 服务密钥,则 HTTP 的版本也会增加,并且更新后的密钥必须同时部署到这两个服务并重新启动。

javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Receive timed out)]

配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCP

org.apache.hadoop.security.authentication.client.AuthenticationException: GSSException: Failure unspecified at GSS-API level (Mechanism level:Specified version of key is not available (44))

  • 根据需要重新分配密钥,然后重新启动过程。
  • 请参阅使用kinit和klist对Hadoop Kerberos问题进行故障排除

GSSException: No valid credentials provided (Mechanism level: Serv

最低0.47元/天 解锁文章
【kafka】No valid credentials provided Mechanism level: Clock skew too great AUTHENTICATION_FAILED
九师兄
04-27 79
具体的详情报错如下这个错误表明在 Kafka 客户端应用程序中存在身份验证问题。错误涉及到 Java Security API 和 Simple Authentication and Security Layer (SASL) 机制,具体提到了一个 GSSException,其消息为 “No valid credentials provided” 和 “Clock skew too great”。:在身份验证过程中 SASL 机制遇到错误时抛出的异常。
Java api访问集群(Kerberos认证不通过)
lhxsir的博客
04-08 1万+
本地环境访问集群OK 生产环境却报错 查找日志信息,发现Kerberos认证的时候,域名解析出现问题?!! 登录生产环境ping 043节点,能ping通说明域名是能解析成IP地址的(有DNS服务器)蓝瘦香菇,明明报错是域名解析问题为什么能ping通呢? 于是把本地Java访问集群代码改成IP试一试,呵呵报错了 Caused by: org.ietf.jgss.GSSException: No v...
大数据安全-KerberosKerberos常见问题解决方案
weixin_53543905的博客
04-04 1万+
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
DataGrip 连接 Kerberos 认证的 hive 报 Hive JDBC Kerberose Authentication Error: GSS initiate failed 错误
u011307484的博客
02-05 7169
版本:hive-3.1.2 问题描述: 使用工具连接 hive 时,报如下错误: The specified database user/password combination is rejected: [ 08S01] Could not open client transport with JDBC Uri: jdbc:hive2://singlenode:10000/;principal=hive/singlenode@EXAMPLE.COM: GSS initiate failed org.ap
keyberos认证问题导致GSS initiate failed
weixin_37933207的博客
11-15 3万+
背景:实施过程中需要./XX.sh 用来提交到大数据平台yarn上进行分析场景的任务提示了下列报错。 javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any K...
CDH启用kerberos认证问题导致GSS initiate failed
jaysen1005的博客
03-20 1万+
问题描述:CDH启用Kerberos后使用beeline连接HiveServer2出错,错误信息如下: 解决方案: 先进入CM管理界面,停止hive 然后在管理->安全界面点击Kerberos凭据 在主体中找到hive所依赖的凭据,勾选后重新生成所选项。 生成凭据 然后启动hive,验证成功! 问题解决!!! ...
org.apache.thrift.transport.TTransportException: GSS initiate failed
weixin_44904163的博客
03-07 4746
kerberos认证的票据可能已经失效了,重新再认证一下 建议写个定时脚本来执行认证 [root@xxxx] # kinit -kt xxxx.keytab xxxx@HADOOP.COM [root@xxxx] # klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: xxxx@HADOOP.COM ........ ...
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(2)
2301_82243318的博客
05-15 1265
从Cloudera Manager中,导航到 管理>安全性 ,然后单击 导入Kerberos帐户管理器凭据以将管理凭据重新导入到Cloudera Manager中。确保主机名解析为与KDC和其他服务通信的服务的IP。查看:错误:访问Oozie WebUI时出现“ HTTP状态401”至少升级到JDK8的51更新请参阅。
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(4)
最新发布
2301_82243318的博客
05-15 1078
此消息表明一个操作尝试要求以 Kerberos 的 user/host@realm 身份认证的操作,但票据 cache 中没有用于 user/host@realm 的票据。hostname或要访问的URL与keytab中列出的主机之间发生主机名不匹配。网络连接问题,可能是由于使用UDP与KDC通信引起的尝试使用请求的KDC中存在的keytab中的Principal名称来kinit,但该keytab是从其他KDC生成的。
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(3)
2301_82243318的博客
05-15 1565
尝试使用请求的KDC中存在的keytab中的Principal名称来kinit,但该keytab是从其他KDC生成的。尝试在使用Kerberos的群集(例如throughBDR)之间复制数据时,这两个群集都使用相同的领域名称,但使用不同的KDC如果正向和反向DNS解析不一致,则会发生这种情况。请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。
kerberos GSS initiate failed认证失败的原因及解决方案
炼数成器
12-29 4489
这就导致同一任务可能会并发执行kinit操作,而 kerberos Ticket Cache文件存储在/tmp目录下,文件名为krb5cc_{uid},其中uid为用户标识号。因为同一OS用户下的多个脚本共享相同的uid,由于并发kinit操作,不同的认证可能会覆盖同一个uid下的Ticket Cache文件,导致Kerberos认证信息串掉。环境变量为每个Kerberos用户指定独立的Ticket Cache文件,解决并发执行脚本时Ticket Cache文件被覆盖的问题。通过在Shell脚本中设置。
spark_windows_sasl_gss_initiate_failed
u012075079的专栏
04-08 431
本地Windows 环境 连接cdh 6.3.2 hive2.1.1, 集群hadoop 版本3.0.0-cdh6.3.2 本地windows hadoop 版本2.7.7 出现如上错误。 尝试解决办法: 之前cdh hadoop版本为2.7的时候,windows远程连接是正常的。 排查日志(主要是cloudera manager namenode日志)发现,是因为hadoop 版本升级导致的,之前hadoop版本是2.7,中间有人升级到了hadoop3.0. namenode中的提示日志如下: .
spark-sql启动报错GSS initiate failed
我怀念的是-无话不说的博客
01-30 7994
18/01/30 13:21:14 WARN Client: Exception encountered while connecting to the server : javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mec...
HBASE请求返回认证失败:GSS initiate failed
a2342243的博客
04-23 1281
bigdata5是老HBASE的地址映射 , THD5是新HBASE的地址, 我们前端时间做的升级,访问时访问的地址thh05但是中间去hosts映射时,却发生了冲突.这里之前被疏忽了,看到只是WARN , 以为不是什么重要提示,下图为bigdata5的出处。其中底部一直提示IO异常,对这个IP和端口尝试ping 和 telnet,结果能够访问,删除hosts中同IP的老HBASE映射 , 通过测试, 可以正常访问Hbase数据了。
【kafka】GSS initiate failed credentials provided This may be caused by Java AUTHENTICATION_FAILED
九师兄
08-05 1293
zookeeper默认使用 zookeeper 作为服务名称,如果你想改变它,那么可以使用。-Dzookeeper.sasl.client.username=zk 来指定它。今天操作一个kerberos认证的环境,然后运行kafka消费者的时候报错。但是流任务启动报错,构建kafka配置的时候如下。然后重新配置后,就不报错这个了,但是又报错。然后验证kafka控制台也是正常的。首先kafka验证是正常的。后来在源码中找到解决方案。...
关于hadoop+kerberos安全认证问题的报错GSS initiate failed 解决
热门推荐
狐狸叫
09-22 3万+
STARTUP_MSG: Starting DataNode STARTUP_MSG:   host = cucrz-6/192.168.20.206 STARTUP_MSG:   args = [] STARTUP_MSG:   version = 1.2.1 STARTUP_MSG:   build = https://svn.apache.org/repos/asf/hadoop
GSS initate failied
娜然的专栏
06-29 1879
环境:win10+MIT Kerberos Ticket Manager+DBeaver 访问hive 报错: 解决过程:发现MIT Kerberos Ticket Manager的登录过期了,然后重新登录。结果dbeaver连接hive还是报错 解决:经过一圈的配置检查,没有发现问题,最后重启了一下dbeaver,就可以了。 ...
javax.security.sasl.SaslException: GSS initiate failed
m0_60725291的博客
08-05 5630
详情如下: ``` javax.security.sasl.SaslException: An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Clock skew too great (37) - P
Could not open client transport for any of the Server URI's in ZooKeeper: GSS initiate failed
05-13
这个错误通常是由于Kerberos认证失败引起的。Kerberos是一种网络认证协议,它需要客户端和服务器之间的时间同步以及正确的Kerberos配置。你可以尝试以下步骤解决问题: 1. 检查Kerberos的配置是否正确,确保客户端和服务器都使用相同的Kerberos配置。 2. 确保客户端和服务器之间的时间同步。你可以使用ntpdate命令同步时间。 3. 尝试重启ZooKeeper服务和Kerberos客户端。 4. 检查ZooKeeper日志文件中是否有其他错误信息,以便进一步调试。 如果以上步骤无法解决问题,你可以在ZooKeeper配置文件中禁用Kerberos认证,然后重新启动ZooKeeper服务。但是,这样做会降低系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值