kinit: informations d'identification du Client ont été abrogées lors de l'obtention initiale des informations d'identification

J'ai hdp cluster configuré avec le protocole kerberos avec AD. Tous les HDP les comptes de service des directeurs et des keytabs générés, y compris étincelle.

Je sais que les comptes de service n'aura pas de mots de passe et définir pour annuler l'expiration.
Maintenant, tout en faisant kinit -kt spark.keytab -p spark-PRINCIPAL j'obtiens l'erreur suivante (voir le titre).

J'ai lu dans le site web du MIT, il se produit en raison de nombreux échecs de tentatives de connexion ou de compte d'expiration définie dans la stratégie par défaut dans le KDC.compte peut être déverrouillé à l'aide d'kadmin des commandes comme kadmin:modprinci spark/capital, mais j'ai de la croix vérifié avec AD admin. Il nous dit de ne pas utiliser de serveur contrôleur de domaine kerberos pour exécuter kadmin commandes que nous utilisons AD mais dit étincelle compte est débloqué l'état lors de la vérifier à l'aide d'AD de l'INTERFACE utilisateur.

Mes questions:

Est-il une commande de déverrouillage de l'étincelle compte dans l'AD?

J'ai fatigué retrait étincelle de service et re installer dans mon cluster, qui ne se régénérer nouvelle keytab ou principal pour éviter révoqué erreur de AD. Vu si toute étincelle compte local qui provoque cette erreur.

AD admin m'a donné les détails du serveur et le mot de passe avec des privilèges limités à faire de recherche ldap et supprimer des commandes. Puis-je utiliser ces privilèges pour déverrouiller étincelle? Et comment le faire?

  • J'ai HDP cluster configuré avec le protocole kerberos avec AD. Tous les HDP les comptes de service des directeurs et des keytabs générés, y compris étincelle. je sais que les comptes de service n'aura pas de mots de passe et définir à pas de date d'expiration. Maintenant, tout en faisant kinit -kt étincelle.keytab-p spark-PRINCIPAL, j'obtiens l'erreur suivante. "kinit: les Clients les informations d'identification ont été abrogées lors de l'obtention initiale des informations d'identification"
  • "les comptes de service n'aura pas de mots de passe" -- oui, ils ont un mot de passe; le fichier keytab est juste un fichier contenant une version cryptée du mot de passe. C'est juste qu'il n'y a pas moyen de trouver le mot de passe d'origine, après qu'il a été hachés et oublié.
InformationsquelleAutor kawad | 2016-11-25