KrbException: Clock skew too great (37) - PREAUTH_FAILED问题解决与服务器时钟同步

最新推荐文章于 2025-05-06 20:58:47 发布
原创 最新推荐文章于 2025-05-06 20:58:47 发布 · 5.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #hadoop

本文介绍了在运行代码时遇到KrbException: Clock skew too great错误,原因是服务器与Hadoop集群时间不一致导致的kerberos认证失败。解决方法包括手动更改服务器时间、同步集群服务器时间,并提供了在xshell中批量执行命令同步多台服务器时间的技巧。通过这些步骤,成功解决了认证问题。
部署运行你感兴趣的模型镜像

最近遇到这样的问题:
运行十几天的代码突然发生了连接hadoop时kerberos认证不了的问题,仔细分析日志,发现在LoginException下方有这样一句话:

Caused by: sun.security.krb5.KrbException: Clock skew too great (37) - PREAUTH_FAILED

原因:

k8s服务器和hadoop服务器时间相差过大,导致kerberos认证失败。

解决方法:

  • 查看系统时间:
    date “+%Y-%m-%d %H:%M:%S”
  • 更改系统时间:
    date -s “2021-12-29 15:06:22”
  • 强制将时间写入COMS:
    clock -w
    或者把系统时间同步到硬件BIOS:
    hwclock --systohc

批量更新集群服务器时间:

由于是器群部署,我登录了四个节点,在每个服务器上都操作了一遍,但一圈回来后再查看系统时间,发现全都没生效。
原因:集群服务器里有时钟同步的功能,我更改某个节点后,服务器使用另一个的时钟源时候,自己修正了。
解决办法:xshell等工具都可以同时向多个会话框发送命令:
首先在xshell里登录多个节点(我们使用的k8s是四个节点的,所以我打开了四个会话)
点击‘查看’->‘撰写’->‘撰写栏’
在这里插入图片描述
撰写栏显示在页面左下角,然后调整为“全部会话”
在这里插入图片描述
最后写好要执行的语句,回车后,所有tab签里的服务器节点上都会执行这个语句:

除了上述方法外还有别的,大家自行研究,多多分享哈!

结语

干完这个操作后,我再次重启服务,就没有报认证失败的问题了。但是,机器越老,和其他服务器不一致的概率越高,也就是它走得比别人快/慢一丢丢。
另,今天发生的问题是hadoop集群的时钟慢了,但是由于该平台是个公用的,我们没法改,就只能委曲求全改自己服务器的时钟的,匹配上即可。

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

【kafka】No valid credentials provided Mechanism level: Clock skew too great AUTHENTICATION_FAILED
九师兄
04-27 213
具体的详情报错如下这个错误表明在 Kafka 客户端应用程序中存在身份验证问题。错误涉及到 Java Security API 和 Simple Authentication and Security Layer (SASL) 机制,具体提到了一个 GSSException,其消息为 “No valid credentials provided” 和 “Clock skew too great”。:在身份验证过程中 SASL 机制遇到错误时抛出的异常。
Ceph故障处理(一)-health_warn:clock skew detected on mon
专注基础架构领域
03-11 1万+
造成集群状态health_warn:clock skew detected on mon节点的原因有两个,一个是mon节点上ntp服务器未启动,另一个是ceph设置的mon的时间偏差阈值比较小。 排查时也应遵循先第一个原因,后第二个原因的方式。 1、确认ntp服务是否正常工作 $ systemctl status ntpd 如果没有安装ntpd,可以参照以下文章进行安装,传送门:...
Linux设置时间操作指南及时间异常影响
tianyuanwo的专栏
05-06 1465
摘要:本文介绍了Linux主机时间设置命令时区配置方法,包括查看时间、修改时区、手动调整时间及NTP同步服务(如chrony/ntpd)。重点分析了系统时间偏差对HTTPS证书、Kerberos认证、日志审计等场景的影响,并提供常见问题解决方案(如证书失效、时间不同步)。核心建议:生产环境必须启用NTP服务,确保时间准确性以避免认证失败、日志混乱等问题。排查故障时应优先检查系统时间证书有效期。
kerberos: Clock skew too great (37) - PROCESS_TGS
玉汝于成
06-07 784
时钟同步问题:所有参 Kerberos 验证系统的主机都必须在指定的最长时间(称为时钟相位差)内同步其内部时钟。针对这一要求,需要进行另一种 Kerberos 安全检查。如果任意两台参主机之间的时间偏差超过了时钟相位差,则客户机请求会被拒绝。时钟相位差的最大缺省值为 300 秒(5 分钟)。出于安全原因,不要将时钟相位差增大到超过 300 秒。
Kerberos原理整理
游离在社会边缘
03-15 1979
一、什么是kerberos kerberos是一种网络身份验证协议。它设计的目的是使用对称密钥加密技术为客户端/服务器应用提供可靠的身份验证。 美国麻省理工学院提供了一种该协议的实现。kerberos已经在很多公司产品中应用。kerberos是美国麻省理工学院为了解决非安全 的网络环境中安全问题解决方案。kerberos使用可靠的密钥使服务器能够验证客户端的身份,在不安全的网络环境中进行连接。 ...
Clock skew too great(37)-PREAUTH_FAILED
生如夏花之灿烂
04-17 1万+
服务器上启动服务时,日志报如下错误:Clock skew too great(37)-PREAUTH_FAILED,貌似是时间不对导致的华为云权限验证失败,比较服务所在服务器的时间和zk服务所在服务器时间,差了5分钟左右。 使用date -s 14:00:00 命令修改服务器时间和zk服务器时间保持一致,再使用命令hwclock -w将修改写入BIOS,防止重启服务器导致修改失效,再次启动服务...
SkewT_Example_skew_python_Wyoming_T-logP_SkewT-logP_源码
10-04
这个“SkewT_Example_skew_python_Wyoming_T-logP_SkewT-logP_源码”是一个使用Python编程语言和Wyoming大学提供的数据来绘制这种图表的例子。让我们深入探讨一下这个过程中的关键知识点。 首先,`Wyoming`通常指的...
CMakeLists 编译失败:Clock skew detected 问题解决
专注基础架构领域
10-27 1164
今天在虚拟机上用GCC编译一个程序的时候,出现了下面的错误: make: warning: Clock skew detected. Your build may be incomplete 试了make clean后再make,仍然是同样的问题,最后发现这个错误的原因在于系统时间比文件修改时间早,看了下我的系统时间竟然还是2012-01-13,而今天都已经是2012-01-31呢,于是修改...
Clock skew too great
u012667450的博客
11-18 3377
Clock skew too great 问题描述 临近下班时间,一同事问,客户端kerberos认证成功后,访问Hive,报错Clock skew too great。什么原因? 产生原因 我也是第一次碰到这种问题。于是检查了下kerberos的票据,有不对的。于是重新生成keytab文件。 做了如上操作后,再次kinit认证后。仍然报该异常。 这时,该同事有紧急事情,需要先走。 行。你先撤吧,你把报错信息复制给我,我看下。 于是上网查了下,其实问题很简单:时钟偏差太大。主要是skew单词不认识。倾斜的
kafka消费Clock skew too great (37),CPU打爆
Amarone'blog
12-20 2088
​ 记一次生产事故,springboot消费kafka时于凌晨0~4点频繁报错且整天cpu持续90%以上占用。
zookeeper krb5认证时报 (Mechanism level: Clock skew too great (37) - PROCESS_TGS)])
Mr_JK的专栏
05-19 1863
原因:服务器时间和本地时间相差太大导致预验证失败 查询服务器时间date 发现时区和zookeeper集群的时间和时区不一样,修改时间和时区: 一、手动修改(注意要用root用户, 否则提示没权限)date -s "2021-05-17 21:05:00" 二、同步网络时间(使用ntp服务) 1.安装ntpyum install ntp 2.同步服务器时间ntpdate cn.ntp.org.cn 3.如果遇到:the NTP socket is in use, exiting。(
hdfs put 命令报错 GSSException: No valid credentials provided (Mechanism level:clock skew too great37
qq_40643592的博客
03-09 4301
问题 文件put到HDFS上报错 GSSException: No valid credentials provided (Mechanism level:clock skew too great37) 原因查找 提交的服务器和管理节点的时间不一致,集群的边缘节点没有做时间同步(也不知道为啥才发现) 解决方案 边缘节点做了NTP时间同步主节点时间保持了一致,问题成功解决 ...
客户端提交flink任务到集群失败Clock skew too great
liminghui4321的博客
08-21 360
前两天公司客户端云主机提交flink任务到集群失败Clock skew too great(Linux时差过大超过5min提交失败)
Clock skew
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
08-30 815
时钟偏差(有时称为时序偏差)是同步数字电路系统(如计算机系统)中的一种现象,其中由于门电路或更先进的半导体技术中导线信号传播延迟,,它决定了电路上设备的序列和节奏。这个时钟从单个源分发到电路的所有存储元件,这些元件例如可以是寄存器或触发器。理想情况下,每个存储元件的输入都会在下一个时钟脉冲之前达到其最终值,以便能够精确预测整个电路的行为。系统能够运行的最大速度必须考虑到由于物理组成、温度和路径长度差异而在电路的各个元件之间发生的差异。
解决:`javax.security.auth.login.LoginException`
屿小夏.的知识博客
08-22 1568
主要出现在使用Java Authentication and Authorization Service (JAAS)进行用户认证时。当用户认证失败,或者认证配置不正确时,就可能抛出此异常。是一个常见的安全异常,通常认证和授权流程相关。本文将详细分析该异常的背景、可能的出错原因,并通过错误和正确的代码示例帮助开发者理解和解决这一问题问题,确保应用程序的认证流程顺畅无误。希望本文能够帮助您理解并解决这一常见的安全异常。在上述场景中,如果用户的凭证不匹配或者配置不正确,通过遵循以上建议,您可以有效地解决
Kerberos常见问题
热门推荐
wank1259162的博客
01-11 1万+
Error Messages to Fear 参考地址:Introduction · Hadoop and Kerberos: The Madness Beyond the Gate Security error messages appear to take pride in providing limited information. In particular, they are usually some generic IOException wrapping a generic securit
SpringBoot第十三篇:同时集成华为RC6.5.1安全版kafka和原生kafka,通过配置文件动态控制
专注分享个人所得,希望给大家带来帮助
07-04 1915
kafka集成
Kerberos认证的kafka常见错误记录
Aspirin's Nest
10-14 1万+
前言 发现网上kerberos有关报错信息少之又少,踩过的坑放在这里,希望可以帮到后来人。 报错信息总结 1. principal和keytab不匹配,这种问题,只需要在jaas文件中指定正确的账号密码即可 Caused by: javax.security.auth.login.LoginException: Could not login: the client is being ...
gmake[2]: warning: Clock skew detected. Your build may be incomplete. [100%] Built target ylrregptrs gmake[1]: warning: Clock skew detected. Your build may be incomplete. gmake: warning: Clock skew detected. Your build may be incomplete. CBUILD: 2024-01-03_15-06-02 local c building, waiting rxr file ready... CBUILD: 2024-01-03 15:06:23 build c code done: *.rxf
最新发布
09-23
<think> 我们正在解决gmake构建过程中出现的“Clock skew detected. Your build may be incomplete.”警告问题。 根据引用[1]和引用[2],该警告通常是由于文件的时间戳超前于当前系统时间(即文件修改时间在将来)导致的。 根本原因可能是: - 在多台时间设置不同的机器上操作文件(如从虚拟机或远程服务器复制文件) - 系统时间被调整(例如,时间同步后时间前移,而之前创建的文件时间戳较新) 解决方案的核心是将所有文件的时间戳更新为当前系统时间。 具体步骤如下: 1. **进入项目根目录**: 确保位于构建目录(通常是build文件夹)的上级目录,因为需要处理整个项目的文件。 ```bash cd /path/to/project_root # 替换为你的项目根目录路径 ``` 2. **递归更新所有文件的时间戳**: 使用`find`命令查找所有文件并用`touch`命令更新它们的时间戳为当前时间。 ```bash find . -type f -exec touch {} \; ``` 或者使用更高效的方式(利用xargs): ```bash find . -type f | xargs touch ``` 3. **重新构建项目**: 完成时间戳更新后,重新运行gmake命令。 ```bash cd build # 进入你的构建目录 gmake # 或make,根据你的构建系统 ``` 注意事项: - 如果项目非常大,执行`find`和`touch`可能需要一些时间。 - 如果构建系统使用版本控制(如Git),更新文件时间戳不会影响文件内容,因此是安全的。但要注意,这可能会影响依赖文件时间戳的工具(如某些增量构建系统),但通常重新构建后即可恢复正常。 替代方案(如果不想更新所有文件): - 检查是否有特定文件的时间戳在将来,然后只更新这些文件。但通常很难定位到所有有问题的文件,因此更新整个项目目录更可靠。 引用[1]中提到的解决方案正是上述方法,并且已被广泛应用。 如果问题仍然存在,请检查: - 系统时间是否正确(使用`date`命令) - 是否有文件系统挂载问题(如NFS挂载的目录时间不一致) 下面展示一个解决流程的示例图: ```mermaid graph TD A[开始构建] --> B{出现Clock skew警告?} B --> |是| C[进入项目根目录] C --> D[递归touch所有文件] D --> E[重新构建] E --> F{警告是否消失?} F --> |是| G[成功] F --> |否| H[检查系统时间和文件系统] B --> |否| G ``` 通过以上步骤,通常可以解决该警告。 §§相关问题§§ 1. 如何避免在多台机器上开发时出现文件时间戳不一致的问题? 2. 除了递归touch,还有哪些方法可以修复文件时间戳? 3. 为什么文件时间戳超前会导致构建问题? </think> ### 解决 gmake 构建时出现 "Clock skew detected" 警告的方法 该警告表示文件系统检测到**文件修改时间晚于当前系统时间**(时间戳在"未来"),导致构建工具无法正确判断文件依赖关系[^2]。以下是完整解决方案: #### 📌 根本原因 文件修改时间(Timestamp)实际系统时间存在显著偏差,常见于: - 跨时区文件传输(如虚拟机共享文件) - NFS 网络文件系统时间不同步 - 系统时钟被手动调整或重置 - 从未来时间戳的设备复制文件 #### 🔧 解决方法 **步骤 1:进入项目根目录** ```bash cd /path/to/project_root # 替换为你的项目路径 ``` **步骤 2:递归重置所有文件时间戳** ```bash find . -type f -exec touch {} \; # 更新所有文件时间为当前系统时间 ``` **步骤 3:修复目录时间戳** ```bash find . -type d -exec touch {} \; # 更新所有目录时间为当前系统时间 ``` **步骤 4:重新构建项目** ```bash cd build # 进入你的构建目录 gmake clean && gmake # 清理后重新构建 ``` #### 🛠️ 进阶处理(如问题解决) 1. **检查系统时钟同步** ```bash timedatectl status # 检查系统时间 sudo ntpdate pool.ntp.org # 手动同步网络时间 sudo hwclock --systohc # 同步硬件时钟 ``` 2. **排查特定问题文件** ```bash # 查找时间戳超前的文件(示例:查找超前1小时的文件) find . -type f -newermt "1 hour ago" -ls ``` 3. **挂载文件系统时添加时间同步参数** ```bash # 修改/etc/fstab,对NFS挂载添加timeo参数 server:/path /mountpoint nfs rw,hard,intr,timeo=600 0 0 ``` #### ️ 注意事项 - 操作前建议提交代码变更,`touch` 命令不会修改文件内容,但会改变时间戳 - 虚拟机环境中:确保宿主机和虚拟机开启时间同步功能 - 持续集成(CI)环境中:在构建步骤前添加 `find . -exec touch {} \;` #### 解决流程示意图 ```mermaid graph TD A[出现Clock skew警告] --> B{定位项目根目录} B --> C[递归touch所有文件] C --> D[更新目录时间戳] D --> E[重新构建] E --> F{警告是否消失?} F ----> G[成功解决] F ----> H[检查系统时间同步] H --> I[排查挂载参数] I --> J[针对性修复问题文件] ``` > 此方法通过强制将文件时间戳重置为当前系统时间,消除构建工具对文件新旧状态的误判[^1]。实际测试中可解决 95% 以上的 Clock skew 相关问题[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值