kinit: Failed to store credentials: Internal credentials cache error (filename: /tmp/krb5cc_1006)

最新推荐文章于 2025-06-26 11:36:28 发布
最新推荐文章于 2025-06-26 11:36:28 发布
阅读量3.5k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 个人总结 文章标签: hive kinit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cclovezbf/article/details/128484319
文章讨论了在多任务环境中,Kerberos认证的并发问题导致的cache冲突,以及通过设置KRB5CCNAME环境变量来避免这个问题。作者指出,共享同一个用户认证可能导致安全性问题,建议每个用户应有自己的账号和keytab,或者使用独立的缓存。同时,对于大量任务是否都需要单独kinit,提出了疑问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[INFO] 2022-12-29 16:24:26.021  - [taskAppId=TASK-678-305576-2357578]:[127] -  -> workspace /data/DATA_DIR/share/dw_ia_portraitsearch
    kinit -kt /data/DATA_DIR/share/keytab/hive.keytab hive@CDP.COM
    kinit: Failed to store credentials: Internal credentials cache error (filename: /tmp/krb5cc_1006) while getting initial credentials

脚本在执行kinit的过程中 报错,注意 这个错是随即错,也就是有时候会出现,有时候不会出现。

出现原因也很简单,就是多个任务同时执行kinit。。。

网上看到的大多文章都是起源这篇

Parallel kinit calls lead to a corrupted Kerberos cache - Stack Overflow

当时出了这个问题后,我看小组里的用到了这个办法

export KRB5CCNAME=tmp/krb5cc_`date +%m%d%H%M%S%N`

指定了一个环境变量有什么用吗? 我暂时是感觉不到,但是别人说有用,也许有点,开始研究下,见到了这篇文章。

Kerberos kinit crontab定时任务不生效的问题解决 - 一杯半盏 - 博客园

我们linux常规认证kerberos 一般都是

kinit -kt /data/DATA_DIR/share/keytab/hive.keytab hive@CDH.COM

kinit -kt /data/DATA_DIR/share/keytab/hive.keytab hive-- 可以省略后面的realm

那么我们认证了这个会发生那些物理变化?

 通过klist可以看到生成了一个cache  /tmp/krb5cc_1000,其中后缀1000也就是devuser的uid ,我们在tmp目录下就看到了这个。

先不讨论上面的问题。我们来测试一下。

同时开两个窗口a b 登录用户都是devuser

然后窗口a,kinit 认证,b能否直接hdfs dfs -ls /

kinit -kt /data/DATA_DIR/share/keytab/hive.keytab hive 

可以看到左边显示kdestroy了,右边klist 确实没了,然后左边认证,右边可以hdfs dfs -ls/ 成功。

这个说明什么问题? 当我们devuser认证了,那么其他用户在使用devuser的时候都是有权限的,即使我现在再重新开一个窗口。

这样好吗?不好!!!但是无所谓,没人会在意这细节,能够认证已经花费我们的大部分精力了,还想要我咋样???但是今天没事就研究下。

比如现在有这种要求,生产环境只给大家一个devuser的用户去登录,并且按照良好习惯要求大家kinit认证使用完了之后即使kdestroy。

那么会出现 a 登录后 kinit  开始做xxxxxx ,

这时b也登录devuser ,但是b发现klist有人已经认证了,那b怎么办,(b现在也可以hdfs dfs -ls )

但是呢 万一我工作了一半,此时a工作完了kdestroy了 我怎么办?

 

 上一秒我还可以好好干活 下一秒我就不能干活了。 有人又说了你重新认证下步就好了吗?

确实是,但是我重新认证的过程中,万一又来了个c,和我同样的遭遇呢?

又有人说不destroy不就好了?一般认证可以管一天 续期7天,七天认证下,不也可以么?问题的关键是 你这样一直认证确实可以解决,但是我们使用kerberos的目的就是安全,你这样一直认证,等于说别人只要知道了你devuser的密码就可以(等你认证或有效期内)在hdfs上为所欲为 ,而之前他需要kinit,他需要知道keytab的位置和principal。

所以其实最好的办法是一人一个账号 一个keytab

或者就是 每个人使用不同的缓存去认证,你destroy是去掉自己的缓存而我不受影响。

左边还是认证的krb5cc_1000, 右边认证的krb5cc_devuser 我们自己搞得一个cache。两者互不干扰,左边destroy了右边还是可以的。

所以同事的那种export KRB5CCNAME=tmp/krb5cc_`date +%m%d%H%M%S%N` 是可行的。

但是真的需要这个么?

我们的脚本都是通过dolphin去调用shell,dolphin的用户对应的租户都是producer,就是说只有一个用户,但是有成千上万个任务,真的需要全部都kinit一遍吗?

 

 

【大数据安全-Kerberos】Kerberos常见问题及解决方案_gss initiate failed(3)
2301_82243318的博客
05-15 1644
尝试使用请求的KDC中存在的keytab中的Principal名称来kinit,但该keytab是从其他KDC生成的。尝试在使用Kerberos的群集(例如throughBDR)之间复制数据时,这两个群集都使用相同的领域名称,但使用不同的KDC如果正向和反向DNS解析不一致,则会发生这种情况。请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。
rh333 - kinit(v5): Password incorrect while getting initial credentials
t0nsha's Blog
04-06 1万+
1. version[root@station20 ~]# cat /proc/version Linux version 2.6.18-308.el5xen (mockbuild@x86-010.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jan 27 17:59:00 EST
klist: command not found/klist: No credentials cache found
szw的博客
07-06 6917
一、安装 https://command-not-found.com/klist CentOS yum install krb5-workstation 二、续订Kerberos 票证 简短描述 要续订过期的 Kerberos 票证: 运行 klist 命令,以显示由密钥分发中心 (KDC) 颁发的凭证。 要获取新票证,运行 kinit 命令并指定包含凭证的密钥表文件,或输入您的委托人的密码。 续订的方法 1.使用 SSH 连接到主节点。 2.要确认票证已过期,运行 klist 命令。此
【kerberos】kinit: Credential cache directory “/run/user/0/krb5cc“ does not exist while getting
Mrerlou的博客
02-15 610
在用SUSE 操作系统安装 CM 大数据平台,在 集群开启 kerberos 操作时报错,报错内容如下: 环境信息 SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5)看下报错的路径,如我这里是,,可能每个人不一样,替换成自己的。 在重新执行,问题解决!
内网渗透横向移动技巧(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
logic1001的博客
06-26 1080
1.白银票据是通过服务名和其hash来进行伪造服务票据ST,并且在利用白银票据的过程并不需要再经过KDC,因此,在socks代理环境下,只需要修改本地的host文件,使我们的命令走kerberos协议,即可使用白银票据;2.黄金票据在socks代理环境下之所以需要远程解析DNS才可以使用的原因是,黄金票据相当于是伪造TGT票据,接下来还需要访问域内的DNS服务器,来返回KDC的地址等信息,因此必须要DNS远程解析才可以使用黄金票据;
解决 eclipse GIT Writing to secure store failed 问题 提交代码认证不通过
qq_39195596的博客
07-13 886
最近公司项目迁移到Git,今天用了git插件却发现提交不了代码!提示认证未通过,通过万能的网络终于找到了可行的方法! 1、按照图片操作 delete掉 2、重启eclipse 3、再次进行提交操作 输入git用户名密码即可 ...
java执行kerberos认证出现的问题以及解决方式
qqnbsp的博客
11-14 3713
Runtime.getRuntime().exec();执行cmd命令,且命令涉及到 kinit -kt /etc/xxxxx.keytab xxxx@HADOOP.COM命令 于是偶然出现下面的问题,这种错误的几率很小,大概几百分之一的概率。 百度了一下,说是kinit -kt 并行引起的,所以解决方案就是解决这种并行问题,但是程序必须保证并行,所以代码里写了尝重新执行的方法,将失败率减少到万分之一。 kinit: Failed to store credentials: Internal cr.
Kerberos V5 Library Error Codes
zy531的专栏
02-02 4474
 http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Kerberos-V5-Library-Error-Codes.html#Kerberos-V5-Library-Error-Codes Protocol error codes are ERROR_TABLE_BASE_krb5 + the protocol e
Kerberos报错:kinit: Password incorrect while getting initial credentials
周源的专栏
11-15 2万+
kadmin.local进入,添加principal,如: addprinc -pw 123456 user 输入密码,然后再操作生成keytab文件, ktadd -k /etc/security/keytabs/user.keytab user .发现kinit user,输入的密码失效登录不上,每次报错: kinit: Password incorrect while gettin
kinit kinit: Password has expired while getting initial credentials
04-02
嗯,用户问的是关于kinit的问题,特别是密码过期导致无法获取初始凭证的错误。首先,我需要回忆一下kinit的作用和常见问题。...如问题持续,请联系Kerberos管理员检查服务器日志(`/var/log/krb5kdc.log`)。
kinit: error while loading shared libraries: libkdb5.so.9: cannot open shared object file: No such file or directory
09-06
这个错误提示"kinit: error while loading shared libraries: libkdb5.so.9: cannot open shared object file: No such file or directory"通常是因为缺少所需的共享库文件libkdb5.so.9。 解决这个问题的方法是安装...
聊聊 kerberos 的 kinit 命令和 ccache 机制
明哥的IT随笔
03-11 4807
1. 前言 大家好,最近遇到了个 kerberos 相关问题,“客户端节点上执行 kinit -R 命令报错:KDC can’t fulfill requested option while renewing credentials”, 在次跟大家分享下问题的解决方式,和背后的相关知识点,主要涉及到 kerberos 的 kinit 命令和 ccache 机制。 2. 问题现象与问题日志 问题现象: 客户端执行命令 kinit -R 报错: “KDC can’t fulfill requested opt
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
jenkins报错: Failed to setup credentials 解决方法
llc580231的博客
08-15 3145
2.接下来清理tag为none的镜像文件,执行命令: echo "123456" | sudo -S docker rmi $(echo "123456" | sudo -S docker images -f "dangling=true" -q)3.执行完成后,再次执行命令:docker system prune --volumes 输入 y 回车确认执行 这条命令是清除的不常用数据。1.首先连接至jenkins所在的服务器,使用命令: df -h 查看磁盘空间,可以看到磁盘空间已经满了。
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
Kerberos 常见错误
zhm1002的博客
08-15 2940
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connection refused 原因: 此版本的 rlogind 不支持任何验证机制。 解决方法: 请确保调用的 rlogin.
【大数据安全-Kerberos】Kerberos常见问题及解决方案
weixin_53543905的博客
04-04 1万+
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
kinit 某个账户,提示 Clients credentials have been revoked
SunWuKong_Hadoop的博客
11-10 6146
人机账户输入错误密码次数过多账号被锁的解决方法 1、先判断是否存在账户被锁。 输入kinit 用户名。如果包含如下提示: kinit: Clients credentials have been revoked while getting initial credentials 可能是账户被锁 2、登陆kadmin后台管理控制台 kadmin -p kadmin/admin 默认密码Ad...
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值