CM 生成丢失kerberos票据 报错

最新推荐文章于 2023-11-20 11:16:23 发布
原创 最新推荐文章于 2023-11-20 11:16:23 发布 · 509 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kerberos

在SUSE Linux环境中,使用kadmin管理工具时,遇到一个问题:当从本地迁移到CM集群上生成Service-principal票据时失败。问题源于本地存在多个kadmin执行文件,CM脚本在多个路径中寻找并使用了非预期的kadmin。为了解决这个问题,需要编辑CM生成票据的脚本`/opt/cloudera/cm/bin/genrate_credentials.sh`,将期望使用的kadmin路径调整到搜索路径的最前面,使得CM优先使用正确的kadmin执行文件。

环境: SUSE(linux 的一个版本), 

本地使用kadmin 的管理员操作,用户登录错误都没有问题;

但是启动到CM 集群上,生成 Service-pricipal 票据失败, 报错如上图

原因

本地有多个 kdmin 执行文件; 路径也不同;

CM生成票据的脚本中:指定的path是一个枚举的多个路径; 也就是说,找到哪个,就用哪个!

但是他不是我们本地使用的那个kadmin。

解决方法

打开CM生成票据的脚本/opt/cloudera/cm/bin/genrate_creatials.sh

找到path这个一行; 修改,让你想使用的kadmin 的路径 排在前面; 这样CM 就优先使用。

Axel_Fr
关注
Kerberos票据转换
谢公子的博客
09-13 2083
由于mimikatz,kekeo,Rubeus生成凭据是以.kirbi后缀的,而impacket生成凭据是.ccache后缀的。所以在某些场景下需要使两种票据互相转换,可以使用以下两种工具。
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
热门推荐
九师兄
01-07 3万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
CDH启用Kerberos生成丢失凭据时出错
jaysen1005的博客
03-20 2854
问题描述:在CDH启用Kerberos认证后,添加新的服务组件时,无法成功启动服务; 错误提示需要生成丢失凭据,然而在生成凭据时又报错,错误信息如下: 解决办法: 首先需要导入Kerberos Account Manager 凭据 然后再生成丢失凭据: 成功! 最后启动服务 也能成功运行了,搞定!!! ...
CDH6.3.2集成FreeIPA
邢为栋
07-14 3399
准备 系统配置 Cloudera Manager Server节点需要安装IPA admin libraries。命令如下: yum install ipa-server 配置FreeIPA FreeIPA的krb5.conf默认配置包含如下内容: default_ccache_name = KEYRING:persistent:%{uid} CDH不支持keyring credential cache,所以需要注释此配置。 另外,需要增加以下配置: renew_lifetime = 7d renewa
重新生成kerberos凭据的方法
shen_xy的博客
04-24 3178
上周在Hadoop服务器上安装了kerberos,默认配置全都没有进行更改,配置了对应用户的票据后均可以正常访问hdfs,但今天来了之后发现用户无法访问hdfs了,于是重新生成票据。通过CMkerberos的ticker_lifetime改成了365天,但是担心万一仍然出现问题,于是将重新生成票据的方法进行记录,以免以后忘记。 对root用户进行票据配置 1、在root用户下执行命令:ki...
CDH5.X安装配置kerberos认证过程
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程中遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节
CISSP考试背点记录(第9版)
墨痕诉清风的博客
11-20 1366
ST包含客户端的身份信息和加密的会话密钥。EAL7:形式化验证的设计和测试 - 评估主要关注产品的形式化验证和设计,包括对产品的形式化验证和证明,并且有高度的信任和保证。EAL4:设计和测试的详细度 - 评估主要关注产品的设计、实现和测试的详细程度,包括设计文档、代码审查、测试计划和结果的记录。EAL3:方法和程序测试 - 评估主要关注产品的设计和实现,包括设计文档的详细程度、代码审查和测试的质量。EAL5:半形式化设计和测试 - 评估主要关注产品的形式化设计和半形式化验证,包括形式化规范、验证和测试。
2025-07-16 17:32:48,314 INFO service.AbstractService: Service org.apache.hadoop.yarn.server.nodemanager.containermanager.ContainerManagerImpl failed in state STARTED java.lang.IllegalArgumentException: Cannot support recovery with an ephemeral server port. Check the setting of yarn.nodemanager.address 报错解决
最新发布
07-17
- **安全模式冲突**:若启用Kerberos,检查 `kinit` 票据是否过期。 - **磁盘空间不足**:`df -h` 检查 `yarn.nodemanager.local-dirs` 目录剩余空间。 - **HDFS健康状态**:NodeManager依赖HDFS,确保 `hdfs ...
Centos7 + KDC 1.15 高可用部署(全量和增量方式)
snipercai的博客
08-02 2580
搭建kdc服务,采用全量和增量两种方式实现高可用
Windows的ad服务器中部分用户访问异常怎么解决
03-26
- 报错现象是登录失败、权限丢失还是资源访问被拒? - 错误代码(如 `0xC0000064`, `0xC0000234`)是否有规律? 2. **检查基础服务状态**: - 打开 **事件查看器** → **Windows日志** → **系统/安全日志**,...
CDH6.2环境中启用Kerberos
我思,故我在!--My data life
06-27 9492
一、Kerberos概述: Kerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloudera Manager可以较为轻松的实现界面化的Kerberos集成, Ker...
记录CDH安装的一个坑:could not contact scm server at localhost:7182, giving up
u011250186的博客
10-21 642
错误: 在web界面安装 agent那一步,抛错,单击信息查看如下初步分析: 是用localhost:7182 无法连接scm server 尝试解决办法: 1.检查关闭防火墙 2.检查python版本2.6.6 3.检查/etc/hosts文件,重启网络service network restart 4.检查/etc/sysconfig/network文件,重启网络service network restart 5.检查/etc/resolv.conf文件,重启网络service n...
cloudera-scm-server一直启动失败的解决办法
厚积薄发
08-07 1万+
先说明下我使用的环境: centos7.x cdh6.3.2 jdk1.8 之前的配置都配好后执行systemctl start cloudera-scm-server命令报如下错误: [root@s30 ~]# systemctl status cloudera-scm-server ● cloudera-scm-server.service - Cloudera CM Server Service Loaded: loaded (/usr/lib/systemd/system/cloud..
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
YARN——队列内的优先级调度
hncscwc的博客
06-28 5074
【原理介绍】在hadoop官方文档中,描述了容量调度支持按任务的优先级来调度。具体来说就是:客户端向yarn提交任务时,可以指定任务的优先级。任务的优先级是一个正整数,值越大意味着任务的优...
Kerberos高可用HA配置
wangkuangood3200的专栏
09-12 1722
关于CDH6集成kerberos的配置参见我的另一篇文章:CDH6集成kerberos,感兴趣的朋友可以查阅。 目前Kerberos服务器的高可用是通过主备模式实现,数据同步是通过kprop服务,定时将主节点上的数据同步到从节点上。本文以host1/host2为例进行说明。 1、在主节点上,修改/etc/krb5.conf,在realms配置下增加备kerberos的配置。 注意:括号位置不...
域控服务器错误事件解决方法,域控制器上的事件 ID 27 KDC 错误 - Windows Server | Microsoft Docs...
weixin_34382844的博客
07-30 1627
Windows Server 2003 域控制器上的事件 ID 27 KDC 错误09/16/2020本文内容本文可帮助修复在 Windows Server 2003 域控制器上发生的事件 ID 27 KDC 错误。适用于: Windows 10 - 所有版本,Windows Server 2012 R2原始 KB 编号: 2002141症状在同时包含 Windows Server 2003...
Kerberos认证协议
u011079143的博客
05-14 3686
安全协议:Kerberos认证协议 一、简介 Kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证。设计者的设计初衷是要用Kerberos的三个头来守卫网络之门。三个头分别包括:认证、账目清算和审计。 Kerberos要解决的问题 在一个开放的分布式网络环境中,用户通过工作站访问服务器提供的服务,存在许多问题: 工作站上的用户可以冒充另一个用户操作 用户可以...
Kerberos认证报错cannot locate default realm
03-09
<think>好的,用户问的是关于Kerberos认证报错“cannot locate default realm”的问题。首先,我需要回忆一下Kerberos的基本概念和常见配置。Kerberos是一个网络认证协议,用于在非安全网络中安全地验证身份。这个错误通常和配置有关,特别是与默认领域(realm)的设置相关。 接下来,我需要考虑用户为什么会遇到这个问题。可能的场景是他们在配置Kerberos客户端或者服务器的时候,没有正确设置默认的realm,或者配置文件中的某些路径有误。用户可能是系统管理员或者开发人员,在处理Kerberos认证时遇到了障碍,导致服务无法正常启动或连接。 然后,我应该拆解这个错误的原因。根据经验,"cannot locate default realm"通常意味着Kerberos库无法找到默认的领域配置。这可能是因为krb5.conf文件缺失、位置不对,或者文件中没有指定default_realm。此外,环境变量设置错误或者文件权限问题也有可能引发这个错误。 接下来,我需要整理解决步骤。首先检查krb5.conf文件是否存在,通常位于/etc/krb5.conf。然后确认该文件中的[libdefaults]部分是否有default_realm的配置,并且值是否正确。如果文件存在但问题依旧,可能需要检查文件权限是否允许读取,或者是否有多个配置文件导致冲突。此外,还要注意领域名称的大小写是否正确,Kerberos对此是敏感的。 同时,应该考虑用户的系统环境,比如不同的操作系统(Linux发行版、Windows等)可能配置文件的位置或设置方法不同。例如,在Windows上可能需要检查注册表设置或者特定的配置路径。 另外,用户可能对Kerberos不太熟悉,所以在回答时需要用通俗易懂的语言,避免使用过多专业术语,或者至少解释清楚每个步骤的目的。比如,解释krb5.conf文件的作用,以及default_realm参数的重要性。 最后,提供一些常见解决方案,如示例配置文件,如何测试配置是否正确(使用kinit命令),以及可能相关的其他错误,如DNS解析问题,因为Kerberos依赖DNS解析领域到KDC的地址。还要提醒用户检查主机名是否正确配置,因为Kerberos有时会依赖主机名来构建领域名称。 总结下来,回答需要结构清晰,分步骤说明可能的原因和解决方法,同时给出具体的命令和配置示例,帮助用户逐步排查问题。确保用户能够按照指导进行操作,并理解每个步骤的意义,从而有效解决问题。</think>Kerberos认证中出现的 **"cannot locate default realm"** 错误通常与Kerberos客户端配置缺失或错误有关。以下是逐步排查和解决方法: --- ### **1. 核心原因** Kerberos客户端无法找到默认的领域(Realm),导致无法定位密钥分发中心(KDC)。 **触发场景**: - `krb5.conf` 配置文件缺失或路径错误 - 配置文件中未定义 `default_realm` - 系统环境变量未正确指向配置文件 - 大小写敏感问题(领域名与实际配置不符) --- ### **2. 解决步骤** #### **步骤1:检查配置文件位置** Kerberos默认读取 `/etc/krb5.conf`。确认文件存在且路径正确: ```bash ls -l /etc/krb5.conf ``` #### **步骤2:验证配置文件内容** 打开 `/etc/krb5.conf`,检查 **[libdefaults]** 部分是否包含 `default_realm`: ```ini [libdefaults] default_realm = EXAMPLE.COM # 替换为你的实际领域名 dns_lookup_realm = false dns_lookup_kdc = true ``` #### **步骤3:检查领域名大小写** Kerberos领域名通常为大写(如 `EXAMPLE.COM`),需确保配置与KDC服务器严格一致。 #### **步骤4:确认环境变量** 某些系统可能通过 `KRB5_CONFIG` 环境变量指定配置文件路径: ```bash echo $KRB5_CONFIG ``` 如果存在,需确保路径有效。 #### **步骤5:测试配置有效性** 使用 `kinit` 命令测试配置(需提前安装 `krb5-user` 或类似工具): ```bash kinit username@EXAMPLE.COM ``` 若提示成功,则配置正确;否则根据错误进一步排查。 --- ### **3. 常见错误场景** #### **场景1:配置文件权限问题** 确保 `/etc/krb5.conf` 可被读取: ```bash chmod 644 /etc/krb5.conf ``` #### **场景2:DNS解析问题** 如果 `dns_lookup_kdc = true`,需确保DNS能解析KDC服务器的SRV记录: ```bash nslookup -q=SRV _kerberos._udp.EXAMPLE.COM ``` #### **场景3:多配置文件冲突** 某些系统可能从多个路径加载配置(如 `/usr/local/etc/krb5.conf`),需检查是否冲突。 --- ### **4. 示例配置文件** ```ini [libdefaults] default_realm = EXAMPLE.COM forwardable = true dns_lookup_kdc = true [realms] EXAMPLE.COM = { kdc = kdc1.example.com admin_server = kdc1.example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM ``` --- ### **5. 扩展排查** - **日志查看**:检查 `/var/log/krb5.log` 或系统日志(`journalctl -u krb5kdc`)。 - **主机名一致性**:确保主机名与领域名匹配(`hostname -f`)。 - **KDC服务状态**:确认KDC服务器在线且可访问(`telnet kdc.example.com 88`)。 如果问题仍未解决,请提供完整的错误日志和配置文件片段以进一步分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值