Kerberos的那些报错汇总

最新推荐文章于 2024-06-26 07:00:00 发布
转载 最新推荐文章于 2024-06-26 07:00:00 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/kavn/blog/1511055
文章标签:

#大数据

本文解析了Kerberos认证过程中常见的五大错误及其原因,包括多线程访问时的重复认证问题、证书过期、缺少证书、服务请求中未包含证书及客户端与服务端时间不同步等。

为什么80%的码农都做不了架构师?>>>   hot3.png

案例一:多线程访问启用了Kerberos的服务报错

情景:有一个采用了Kerberos认证的web服务,使用Jmeter对其进行压测,在web的日志里看到如下报错

错误如下GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34)) Caused by: KrbException: Request is a replay (34)

错误原因:当有 多个 客户端使用 同一principal 同时 向KDC请求认证的时候,Kerberos在 同一时间 能且仅能允许 一个 客户端通过认证!

这样就导致其他线程的连接是无法通过认证的,因而抛出上面的异常。所以在有大量需授权的任务的时候,最好每台机器使用不同的principal,避免多线程使用同一principal请求。

案例二: 证书已过期

错误如下GSSException: Failure unspecified at GSS-API level (Mechanism level: Specified version of key is not available (44))

错误原因:当前的keytab证书无效,keytab里存储的key已过期,这个通常是因为在KDC里重新导出过证书,而在导出证书的时候重新生成了密钥,需要把新的keytab文件拷贝过来重新kinit,或者导出证书的时候加上 -norandkey

案例三:没有证书

错误如下GSS initiate failed

错误原因:运行程序或请求服务时没有执行kinit操作,或程序里没有使用keytab和principal进行login

案例四:服务请求中没有证书

错误如下GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]; Host Details : local host is: "node2.xxx.com/172.21.0.189"; destination host is: "node1.xxx.com":8020;

错误原因:这个跟案例三的错误是一样的,都属于是没有证书,但是这里的更详细,我们需要学会去看到底是哪出了问题。从Host Details可以看出是node2向node3发起请求的时候认证不通过,那么说明是node2上没有证书,其次请求的端口是8020,由此可以看出是请求的HDFS服务,因为可以很快定位出问题在哪

案例五:时间不同步

错误如下GSSException: ClockSkew,这个错误由于当时没记下来,只记得这个clockskew的关键词,所以不完整

错误原因:从关键词可以看出,是时钟倾斜了,说明客户端和服务端的时间是不同步的,Kerberos有一个可允许的时间差,机器时间超过这个设定的时间差就会报错,把时间进行同步就好了

欢迎阅读转载,转载请注明出处:https://my.oschina.net/u/2539801/blog/1511055

转载于:https://my.oschina.net/kavn/blog/1511055

【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 3万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
Kerberos常见问题汇总
光于前裕于后的博客
05-20 3437
问题汇总1.未生成票据2.主体密码错误3.KDC未启动4.票据缓存5.Peer indicated failure6.混合问题 1.未生成票据 报错内容: WARN ipc.Client: Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS] ls: Fa
大数据安全-KerberosKerberos常见问题及解决方案
weixin_53543905的博客
04-04 1万+
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
Gbase 8a MPP Cluster维护过程中可能遇到的故障管理(八-下)
huixinhuiyismile的博客
05-09 690
导入导出 13 orato8a query 方式导出报错 ORA-02391连接数不足 问题现象 执行 orato8a 导出,报错 ORA-02391,连接数不够了。但 sqlplus 执行 sql不报错, 怀疑 orato8a 在一次导出数据建立了多个 session连接。 和研发确认,orato8a 会启动两个进程,一个里面有一个链接。 解决方法 DBA 增加用户连接数设置。 14 orato8a 抽取包含 clob 字段表速度慢 问题现象 orato8a 抽取包含 c...
FTP时报 GSSAPI error major: Unspecified GSS failure,KERBEROS_V4 错误的解决
cps9988的博客
08-06 1803
一.问题描述 无法通过/etc/rc.d/init.d/vsftpd stop 来停止ftp服务,通过windows的客户端仍然可以进行ftp的访问.[root@pdb log]# /etc/rc.d/init.d/vsftpd...
keyberos认证问题导致GSS initiate failed
weixin_37933207的博客
11-15 3万+
背景:实施过程中需要./XX.sh 用来提交到大数据平台yarn上进行分析场景的任务提示了下列报错。 javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any K...
Hive/Spark/Yarn: User Not Found 错误和 Kerberos / AD / OpenLDAP 之间的关系与解释
Laurence的技术博客
07-31 1627
有时候,当你向Spark或Hive提交作业时,可能会遇到User not found错误,类似的问题大多发生在启动了Kerberos的Hadoop集群上,或者集群集成了Windows AD或OpenLDAP后。本文,我们把这个问题梳理清楚并给出解决方法。
Kerberos安装及使用3(Kerberos基本管理实践)
Siobhan_Mxin的博客
03-16 7328
使用kinit命令为管理员主体获取ticket 使用kadmin命令登录管理服务器 使用addprinc命令添加普通用户 使用listprincs查看主体列表 使用getprinc查看主体详情 使用delprinc命令删除主体 使用klist命令查看证书缓存 使用kdestroy命令销毁缓存
Greenplum【问题 03】6.13.0单机版重启实录(5次报错问题及解决的避坑指南+日志文件查看方法)
Java与大数据相关实践内容分享!
09-01 2784
Greenplum【问题记录 03】6.13.0单机版重启实录(5次报错问题及解决的避坑指南+日志文件查看方法)
华为大数据平台FusionInsight HD部署中遇到的问题汇总
周源的专栏
06-01 7889
1、下载华为的FusionInsight 版本配置规划工具,有关浮动IP的填写(不需要自己手动去机器上进行配置):与集群节点的IP处于同一网段,且唯一。即该IP地址在该网段没有节点使用。在服务器上PING一下,如果无数据包回复,则代表还未使用。 2、如果已经手动挂载磁盘,可以把以下文件的 g_parted 参数值改为0/opt/FusionInsight_SetupTool/preinstall/...
关于hadoop+kerberos安全认证问题的报错GSS initiate failed 解决
热门推荐
狐狸叫
09-22 3万+
STARTUP_MSG: Starting DataNode STARTUP_MSG:   host = cucrz-6/192.168.20.206 STARTUP_MSG:   args = [] STARTUP_MSG:   version = 1.2.1 STARTUP_MSG:   build = https://svn.apache.org/repos/asf/hadoop
记ambari启用kerberos添加kafka组件后yarn和hive出现Failure unspecified at GSS-API level (Mechanism level: Checksu...
weixin_30276935的博客
10-25 1882
出现警告的过程是: 1、搭建ambari集群成功后,添加了hdfs和zk组件,然后启用了kerberos; 2、kerberos启用完毕后添加hbase和yarn、MapReduce、hive都没有出现警告 3、添加kafka之后,在ambari的kerberos处更新了票据,这时候发现hive和yarn出现了警告,前台是403错误,通过查看后台日志发现,报了这样一个警告: Failure...
Kerberos常见问题
wank1259162的博客
01-11 1万+
Error Messages to Fear 参考地址:Introduction · Hadoop and Kerberos: The Madness Beyond the Gate Security error messages appear to take pride in providing limited information. In particular, they are usually some generic IOException wrapping a generic securit
Kerberos hadoop常见问题汇总
周源的专栏
09-27 1万+
链接:https://github.com/steveloughran/kerberos_and_hadoop/blob/master/sections/errors.md 问题汇总: 1、GSS initiate failed —no further details provided 2、Server not found in Kerberos database (7) or se
Hadoop安全认证(2)
行人事,知天命
08-02 9998
凭证过期处理策略 在最早的 Security features for Hadoop 设计中提出这样的假设: A Hadoop job will run no longer than 7 days (configurable) on a MapReduce cluster or accessing HDFS from the job will fail.
驯服三头野兽:了解Kerberos以对Hadoop安全性进行故障排除
weixin_26722031的博客
07-30 1009
Three years ago, I was tasked with migrating the data analysis stack of a company with millions of daily active users from its traditional SQL-based infrastructure to Apache Hadoop. Back then, I consi...
已解决org.ietf.jgss.GSSException异常的正确解决方法,亲测有效!!!
小明的Java问道之路
06-26 1492
已解决org.ietf.jgss.GSSException异常的正确解决方法,亲测有效!!!
java票证管理办法,如何使用Windows Java客户端保存Kerberos服务票证?
weixin_29143339的博客
02-25 217
I've written a simple Java HTTP Client that is running under Windows. The client communicates with a web server which requires Kerberos authentication through SPNego.I'm experiencing two problems:The ...
ssh登录很慢解决方法
11-27 122
使用ssh客户端(如:putty)连接Linux服务器,可能会等待10-30秒才有提示输入密码,严重影响工作效率。登录很慢,登录上去后速度正常,这种情况主要有两种可能的原因: 1. DNS反向解析问题 OpenSSH在用户登录的时候会验证IP,它根据用户的IP使用反向DNS找到主机名,再使...
Kerberos认证报错cannot locate default realm
最新发布
03-09
<think>好的,用户问的是关于Kerberos认证报错“cannot locate default realm”的问题。首先,我需要回忆一下Kerberos的基本概念和常见配置。Kerberos是一个网络认证协议,用于在非安全网络中安全地验证身份。这个错误通常和配置有关,特别是与默认领域(realm)的设置相关。 接下来,我需要考虑用户为什么会遇到这个问题。可能的场景是他们在配置Kerberos客户端或者服务器的时候,没有正确设置默认的realm,或者配置文件中的某些路径有误。用户可能是系统管理员或者开发人员,在处理Kerberos认证时遇到了障碍,导致服务无法正常启动或连接。 然后,我应该拆解这个错误的原因。根据经验,"cannot locate default realm"通常意味着Kerberos库无法找到默认的领域配置。这可能是因为krb5.conf文件缺失、位置不对,或者文件中没有指定default_realm。此外,环境变量设置错误或者文件权限问题也有可能引发这个错误。 接下来,我需要整理解决步骤。首先检查krb5.conf文件是否存在,通常位于/etc/krb5.conf。然后确认该文件中的[libdefaults]部分是否有default_realm的配置,并且值是否正确。如果文件存在但问题依旧,可能需要检查文件权限是否允许读取,或者是否有多个配置文件导致冲突。此外,还要注意领域名称的大小写是否正确,Kerberos对此是敏感的。 同时,应该考虑用户的系统环境,比如不同的操作系统(Linux发行版、Windows等)可能配置文件的位置或设置方法不同。例如,在Windows上可能需要检查注册表设置或者特定的配置路径。 另外,用户可能对Kerberos不太熟悉,所以在回答时需要用通俗易懂的语言,避免使用过多专业术语,或者至少解释清楚每个步骤的目的。比如,解释krb5.conf文件的作用,以及default_realm参数的重要性。 最后,提供一些常见解决方案,如示例配置文件,如何测试配置是否正确(使用kinit命令),以及可能相关的其他错误,如DNS解析问题,因为Kerberos依赖DNS解析领域到KDC的地址。还要提醒用户检查主机名是否正确配置,因为Kerberos有时会依赖主机名来构建领域名称。 总结下来,回答需要结构清晰,分步骤说明可能的原因和解决方法,同时给出具体的命令和配置示例,帮助用户逐步排查问题。确保用户能够按照指导进行操作,并理解每个步骤的意义,从而有效解决问题。</think>Kerberos认证中出现的 **"cannot locate default realm"** 错误通常与Kerberos客户端配置缺失或错误有关。以下是逐步排查和解决方法: --- ### **1. 核心原因** Kerberos客户端无法找到默认的领域(Realm),导致无法定位密钥分发中心(KDC)。 **触发场景**: - `krb5.conf` 配置文件缺失或路径错误 - 配置文件中未定义 `default_realm` - 系统环境变量未正确指向配置文件 - 大小写敏感问题(领域名与实际配置不符) --- ### **2. 解决步骤** #### **步骤1:检查配置文件位置** Kerberos默认读取 `/etc/krb5.conf`。确认文件存在且路径正确: ```bash ls -l /etc/krb5.conf ``` #### **步骤2:验证配置文件内容** 打开 `/etc/krb5.conf`,检查 **[libdefaults]** 部分是否包含 `default_realm`: ```ini [libdefaults] default_realm = EXAMPLE.COM # 替换为你的实际领域名 dns_lookup_realm = false dns_lookup_kdc = true ``` #### **步骤3:检查领域名大小写** Kerberos领域名通常为大写(如 `EXAMPLE.COM`),需确保配置与KDC服务器严格一致。 #### **步骤4:确认环境变量** 某些系统可能通过 `KRB5_CONFIG` 环境变量指定配置文件路径: ```bash echo $KRB5_CONFIG ``` 如果存在,需确保路径有效。 #### **步骤5:测试配置有效性** 使用 `kinit` 命令测试配置(需提前安装 `krb5-user` 或类似工具): ```bash kinit username@EXAMPLE.COM ``` 若提示成功,则配置正确;否则根据错误进一步排查。 --- ### **3. 常见错误场景** #### **场景1:配置文件权限问题** 确保 `/etc/krb5.conf` 可被读取: ```bash chmod 644 /etc/krb5.conf ``` #### **场景2:DNS解析问题** 如果 `dns_lookup_kdc = true`,需确保DNS能解析KDC服务器的SRV记录: ```bash nslookup -q=SRV _kerberos._udp.EXAMPLE.COM ``` #### **场景3:多配置文件冲突** 某些系统可能从多个路径加载配置(如 `/usr/local/etc/krb5.conf`),需检查是否冲突。 --- ### **4. 示例配置文件** ```ini [libdefaults] default_realm = EXAMPLE.COM forwardable = true dns_lookup_kdc = true [realms] EXAMPLE.COM = { kdc = kdc1.example.com admin_server = kdc1.example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM ``` --- ### **5. 扩展排查** - **日志查看**:检查 `/var/log/krb5.log` 或系统日志(`journalctl -u krb5kdc`)。 - **主机名一致性**:确保主机名与领域名匹配(`hostname -f`)。 - **KDC服务状态**:确认KDC服务器在线且可访问(`telnet kdc.example.com 88`)。 如果问题仍未解决,请提供完整的错误日志和配置文件片段以进一步分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值