常见的 Kerberos 错误消息 (N-Z)

最新推荐文章于 2023-12-29 22:15:00 发布
原创 最新推荐文章于 2023-12-29 22:15:00 发布 · 463 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kerberos

本文详细介绍了Kerberos命令、守护进程、PAM框架、GSS接口、NFS服务和Kerberos库中常见错误及其对应的解决方法,帮助用户快速定位和解决问题。

本节按字母顺序 (N-Z) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。

 

No credentials cache file found

原因:

Kerberos 无法找到凭证高速缓存 (/tmp/krb5cc_uid)。

解决方法:

请确保该凭证文件存在并且可以读取。否则,请再次尝试执行 kinit

 

No credentials were supplied, or the credentials were unavailable or inaccessible

 

No credential cache found

原因:

用户的凭证高速缓存不正确或不存在。

解决方法:

用户应在尝试启动服务之前运行 kinit

 

No credentials were supplied, or the credentials were unavailable or inaccessible

 

No principal in keytab matches desired name

原因:

尝试验证服务器时出现错误。

解决方法:

请确保主机或服务主体位于服务器的密钥表文件中。

 

Operation requires “privilege” privilege

原因:

正在使用的 admin 主体未在 kadm5.acl 文件中配置相应的权限。

解决方法:

请使用具有相应权限的主体。或者,请通过修改 kadm5.acl 文件来配置所使用的主体,使其具有相应的权限。通常,名称中包含 /admin 的主体具有相应的权限。

 

PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found

原因:

远程应用程序尝试在本地 /etc/krb5/krb5.keytab 文件中读取主机的服务主体,但不存在任何主体。

解决方法:

请将主机的服务主体添加到主机的密钥表文件中。

 

Password is in the password dictionary

原因:

指定的口令位于正在使用的口令字典中。您选择的口令不适合用作口令。

解决方法:

请选用包含混合口令类的口令。

 

Permission denied in replay cache code

原因:

无法打开系统的重放高速缓存。首次运行服务器时所使用的用户 ID 可能与当前的用户 ID 不同。

解决方法:

请确保重放高速缓存具有相应的权限。重放高速缓存存储在运行基于 Kerberos 的服务器应用程序的主机上。对于非 root 用户,重放高速缓存文件称为 /var/krb5/rcache/rc_service_name_ uid。对于 root 用户,重放高速缓存文件称为 /var/krb5/rcache/root/rc_service_name

 

Protocol version mismatch

原因:

很可能向 KDC 发送了 Kerberos V4 请求。Kerberos 服务仅支持 Kerberos V5 协议。

解决方法:

请确保应用程序使用的是 Kerberos V5 协议。

 

Request is a replay

原因:

请求已发送到此服务器并进行了处理。票证可能已被盗用,并且其他用户正在尝试重新使用这些票证。

解决方法:

请等待几分钟,然后重新发出请求。

 

Requested principal and ticket don't match

原因:

您正在连接的服务主体与您所拥有的服务票证不匹配。

解决方法:

请确保 DNS 正常运行。如果使用的是其他供应商的软件,请确保该软件使用的主体名称正确。

 

Requested protocol version not supported

原因:

很可能向 KDC 发送了 Kerberos V4 请求。Kerberos 服务仅支持 Kerberos V5 协议。

解决方法:

请确保应用程序使用的是 Kerberos V5 协议。

 

Server refused to negotiate authentication, which is required for encryption. Good bye.

原因:

远程应用程序无法接受或已配置为不接受来自客户机的 Kerberos 验证。

解决方法:

请提供可以协商验证的远程应用程序,或配置该应用程序以使用相应标志来打开验证。

 

Server refused to negotiate encryption. Good bye.

原因:

无法与服务器协商加密。

解决方法:

请通过使用 toggle encdebug 命令调用 telnet 命令,启动验证调试并查看调试消息以获取更多线索。

 

Server rejected authentication (during sendauth exchange)

原因:

您正在尝试与其通信的服务器拒绝验证。此错误通常出现在 Kerberos 数据库传播过程中。一些常见的原因可能是 kpropd.acl 文件、DNS 或密钥表文件存在问题。

解决方法:

如果在运行 kprop 以外的应用程序时收到此错误,请检查服务器的密钥表文件是否正确。

 

The ticket isn't for us

 

Ticket/authenticator don't match

原因:

票证与验证者不匹配。请求中的主体名称可能与服务主体的名称不匹配,因为发送票证使用的是主体的 FQDN 名称,而服务期望非 FQDN 名称,反之亦然。

解决方法:

如果在运行 kprop 以外的应用程序时收到此错误,请检查服务器的密钥表文件是否正确。

 

Ticket expired

原因:

票证时间已到期。

解决方法:

请使用 kdestroy 销毁票证,然后使用 kinit 创建新票证。

 

Ticket is ineligible for postdating

原因:

主体不允许其票证以后生效。

解决方法:

请使用 kadmin 修改主体以允许以后生效。

 

Ticket not yet valid

原因:

以后生效的票证仍然无效。

解决方法:

请使用正确的日期创建新票证,或等待当前票证生效。

 

Truncated input file detected

原因:

操作中使用的数据库转储文件不是完整的转储文件。

解决方法:

请重新创建转储文件,或使用其他数据库转储文件。

 

Unable to securely authenticate user ... exit

原因:

无法与服务器协商验证。

解决方法:

请通过使用 toggle authdebug 命令调用 telnet 命令,启动验证调试并查看调试消息以获取更多线索。另外,请确保具有有效凭证。

 

Wrong principal in request

原因:

票证中包含无效的主体名称。此错误可能表明 DNS 或 FQDN 存在问题。

解决方法:

请确保服务主体与票证中的主体匹配。

【系统架构设计师-2020年】综合知识-答案及详解
数据知道的博客
09-02 9730
前趋图(Precedence Graph)是一个有向无环图,记为:→={(Pi,Pj)|Pi must complete before Pj may start} 。假设系统中进程P={P1,P2,P3,P4,P5,P6,P7},且进程的前趋图如下: 那么, 该前驱图可记为 ( )。 答案解析正确答案: B在支持多线程的操作系统中,假设进程P创建了线程T1、T2和T3,那么下列说法正确的是( )。 答案解析正确答案: C假设某计算机的字长为32位,该计算机文件管理系统磁盘空间管理采用位示图(bitmap)
kerberos认证搭建安装
tiki的博客
12-14 3281
kerberos认证搭建安装一、Kerberos简介1.Kerberos2.Kerberos认证流程2.1客户端认证2.2服务授权2.3服务请求3.kdc集群3.1安装包3.2术语二、安装搭建1.服务器安装1.1安装命令1.2修改配置1.2.1修改KDC的配置文件1.2.2配置KDC服务的权限管理文件1.2.3修改Kerberos的配置文件信息1.3初始化KDC数据库1.4启动1.5KDC 服务器上添加超级管理员账户2.搭建Kerberos客户端环境3.登录验证三、基本命令操作1.登录管理员模式2.基本操作
klist: command not found/klist: No credentials cache found
szw的博客
07-06 6976
一、安装 https://command-not-found.com/klist CentOS yum install krb5-workstation 二、续订Kerberos 票证 简短描述 要续订过期的 Kerberos 票证: 运行 klist 命令,以显示由密钥分发中心 (KDC) 颁发的凭证。 要获取新票证,运行 kinit 命令并指定包含凭证的密钥表文件,或输入您的委托人的密码。 续订的方法 1.使用 SSH 连接到主节点。 2.要确认票证已过期,运行 klist 命令。此
常见Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
血的教训--kail系统免密centos7的坑【高版本ssh免密低版本ssh的坑】
guijianchouxyz的博客
11-30 1094
最近下载了一个2023版本的kail系统,但是经过几次设置免密后,ssh过去一直让提供密码,所以就仔细的分析了一下,果然还是发现了点猫腻接上一个博客,大家可以看看,ssh免密之间的坑ssh免密其实很简单,但是没想到还是有一些坑。
Kerberos常见问题
wank1259162的博客
01-11 1万+
Error Messages to Fear 参考地址:Introduction · Hadoop and Kerberos: The Madness Beyond the Gate Security error messages appear to take pride in providing limited information. In particular, they are usually some generic IOException wrapping a generic securit
Kerberos 常见错误
zhm1002的博客
08-15 2962
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connection refused 原因: 此版本的 rlogind 不支持任何验证机制。 解决方法: 请确保调用的 rlogin.
Kerberos原理整理
游离在社会边缘
03-15 1954
一、什么是kerberos kerberos是一种网络身份验证协议。它设计的目的是使用对称密钥加密技术为客户端/服务器应用提供可靠的身份验证。 美国麻省理工学院提供了一种该协议的实现。kerberos已经在很多公司产品中应用。kerberos是美国麻省理工学院为了解决非安全 的网络环境中安全问题的解决方案。kerberos使用可靠的密钥使服务器能够验证客户端的身份,在不安全的网络环境中进行连接。 ...
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-16 3931
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
2025-08-09 04:57:47,757 [main/] INFO [traceId ] o.s.o.j.LocalContainerEntityManagerFactoryBean[447] - Initialized JPA EntityManagerFactory for persistence unit 'firstPersistenceUnit' 2025-08-09 04:57:48,458 [main/] INFO [traceId ] o.s.d.j.r.q.QueryEnhancerFactory[126] - JSqlParser is in classpath; If applicable, JSqlParser will be used. 2025-08-09 04:57:48,458 [main/] INFO [traceId ] o.s.d.j.r.q.QueryEnhancerFactory[49] - Hibernate is in classpath; If applicable, HQL parser will be used. 2025-08-09 04:57:51,428 [main/] WARN [traceId ] o.s.b.a.o.j.JpaBaseConfiguration$JpaWebConfiguration[241] - spring.jpa.open-in-view is enabled by default. Therefore, database queries may be performed during view rendering. Explicitly configure spring.jpa.open-in-view to disable this warning 2025-08-09 04:57:54,541 [main/] INFO [traceId ] o.s.b.a.e.w.EndpointLinksResolver[60] - Exposing 1 endpoint beneath base path '/actuator' 2025-08-09 04:57:54,677 [main/] INFO [traceId ] o.a.c.h.Http11NioProtocol[173] - Starting ProtocolHandler ["https-jsse-nio-8888"] 2025-08-09 04:57:54,808 [main/] INFO [traceId ] o.a.t.u.n.N.certificate[173] - Connector [https-jsse-nio-8888], TLS virtual host [_default_], certificate type [UNDEFINED] configured from key store [/home/g.ratan.001/.keystore] using alias [uklvapapp290p.gdc.standardchartered.com] with trust store [null] 2025-08-09 04:57:54,834 [main/] INFO [traceId ] o.s.b.w.e.t.TomcatWebServer[243] - Tomcat started on port 8888 (https) with context path '/' 2025-08-09 04:57:54,869 [main/] INFO [traceId ] c.s.r.e.Application[59] - Started Application in 18.879 seconds (process running for 21.277) 2025-08-09 04:57:54,883 [main/] INFO [traceId ] o.s.b.a.b.JobLauncherApplicationRunner[168] - Running default command line with: [] 2025-08-09 04:57:56,443 [scheduling-1/] WARN [traceId ] o.a.h.u.NativeCodeLoader[60] - Unable to load native-hadoop library for your platform... using builtin-java classes where applicable 2025-08-09 04:57:56,560 [scheduling-1/] INFO [traceId ] o.a.h.s.UserGroupInformation[1132] - Login successful for user g.ratan.001@ZONE1.SCB.NET using keytab file g.ratan.001.keytab. Keytab auto renewal enabled : false 2025-08-09 04:57:56,561 [scheduling-1/] INFO [traceId ] c.s.r.e.c.HiveDruidConfig[73] - Login Kerberos Job Success. 2025-08-09 04:57:58,349 [https-jsse-nio-8888-exec-3/] INFO [traceId ] o.a.c.c.C.[.[.[/][173] - Initializing Spring DispatcherServlet 'dispatcherServlet' 2025-08-09 04:57:58,350 [https-jsse-nio-8888-exec-3/] INFO [traceId ] o.s.w.s.DispatcherServlet[532] - Initializing Servlet 'dispatcherServlet' 2025-08-09 04:57:58,352 [https-jsse-nio-8888-exec-3/] INFO [traceId ] o.s.w.s.DispatcherServlet[554] - Completed initialization in 2 ms 2025-08-09 04:58:59,985 [SpringApplicationShutdownHook/] INFO [traceId ] o.s.b.w.e.t.GracefulShutdown[54] - Commencing graceful shutdown. Waiting for active requests to complete 2025-08-09 04:58:59,990 [tomcat-shutdown/] INFO [traceId ] o.s.b.w.e.t.GracefulShutdown[76] - Graceful shutdown complete 2025-08-09 04:59:00,009 [SpringApplicationShutdownHook/] INFO [traceId ] c.a.d.p.DruidDataSource[2174] - {dataSource-0} closing ... 2025-08-09 04:59:00,011 [SpringApplicationShutdownHook/] INFO [traceId ] o.s.o.j.LocalContainerEntityManagerFactoryBean[660] - Closing JPA EntityManagerFactory for persistence unit 'firstPer sistenceUnit' 2025-08-09 04:59:00,015 [SpringApplicationShutdownHook/] INFO [traceId ] c.z.h.HikariDataSource[349] - PostgreSQLConnectHikariCP - Shutdown initiated... 2025-08-09 04:59:00,051 [SpringApplicationShutdownHook/] INFO [traceId ] c.z.h.HikariDataSource[351] - PostgreSQLConnectHikariCP - Shutdown completed.
08-12
- 潜在问题识别:列举常见问题(如配置错误、Bean创建失败、依赖缺失等)及其在日志中的表现 - 分析方法:介绍手动分析方法和工具辅助分析 - 示例:给出一些命令或代码示例(如使用grep命令查找错误- 总结 ...
E0905 01:32:24.277725 1 authentication.go:63] "Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid: current time 2025-09-05T01:32:24Z is after 2023-03-29T10:01:34Z, verifying certificate SN=4021147769370131193, SKID=, AKID= failed: x509: certificate has expired or is not yet valid: current time 2025-09-05T01:32:24Z is after 2023-03-29T10:01:34Z]"
最新发布
09-06
错误信息是:"x509证书已过期或未生效(当前时间2025-09-05T01:32:24Z晚于2023-03-29T10:01:34Z)"。这表明证书在2023年3月29日过期,而当前时间是2025年9月,所以证书确实过期了。 用户提供了几个引用: - 引用[1]...
Kerberos 错误消息
那闯
03-22 4420
Kerberos 错误消息 转自: http://www.cclove.me/linux_basic/0330regularex/information/computer/c7f5e5c986e6c339d5285ca8f02add28.html SEAM Administration Tool 错误消息 Unable to view the list of principals
kerberos命令
记录工作所遇问题及个人概念理解
10-11 2630
使用kadmin.local命令登录 或者kadmin 认证 klinit admin/admin 查看命令列表:? 查看已经存在的凭据: list_principals, listprincs, get_principals, getprincs 添加凭据:add_principal, addprinc, ank #添加principal addprinc -randkey hadoop/172.24.215.5 addprinc -randkey hadoop 脚本执行如下: kadmin.local
Kerberos 命令使用
raven_41的专栏
11-01 1435
认证登录 kinit admin/admin@EXAMPLE.COM Password for admin/admin@EXAMPLE.COM: 123456 查询登录 klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: admin/admin@EXAMPLE.COM Valid starting ...
CDH6.2环境中启用Kerberos
我思,故我在!--My data life
06-27 9436
一、Kerberos概述: Kerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloudera Manager可以较为轻松的实现界面化的Kerberos集成, Ker...
kerberos GSS initiate failed认证失败的原因及解决方案
炼数成器
12-29 4881
这就导致同一任务可能会并发执行kinit操作,而 kerberos Ticket Cache文件存储在/tmp目录下,文件名为krb5cc_{uid},其中uid为用户标识号。因为同一OS用户下的多个脚本共享相同的uid,由于并发kinit操作,不同的认证可能会覆盖同一个uid下的Ticket Cache文件,导致Kerberos认证信息串掉。环境变量为每个Kerberos用户指定独立的Ticket Cache文件,解决并发执行脚本时Ticket Cache文件被覆盖的问题。通过在Shell脚本中设置。
SSH 登录慢,分析与解决
zyy247796143的博客
11-10 1992
问题分析: 可以在ssh命令登录的时候加上“-v“ 参数,输出debug信息定位问题。 具体操作例子:ssh -v 192.168.1.1 发现如下信息等待时间过长: debug1: Unspecified GSS failure. Minor code may provide more information No credentials cache found
java执行kerberos认证出现的问题以及解决方式
qqnbsp的博客
11-14 3741
Runtime.getRuntime().exec();执行cmd命令,且命令涉及到 kinit -kt /etc/xxxxx.keytab xxxx@HADOOP.COM命令 于是偶然出现下面的问题,这种错误的几率很小,大概几百分之一的概率。 百度了一下,说是kinit -kt 并行引起的,所以解决方案就是解决这种并行问题,但是程序必须保证并行,所以代码里写了尝重新执行的方法,将失败率减少到万分之一。 kinit: Failed to store credentials: Internal cr.
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值