kinit: informations d'identification du Client ont été abrogées lors de l'obtention initiale des informations d'identification
J'ai hdp cluster configuré avec le protocole kerberos avec AD. Tous les HDP les comptes de service des directeurs et des keytabs générés, y compris étincelle.
Je sais que les comptes de service n'aura pas de mots de passe et définir pour annuler l'expiration.
Maintenant, tout en faisant kinit -kt spark.keytab -p spark-PRINCIPAL
j'obtiens l'erreur suivante (voir le titre).
J'ai lu dans le site web du MIT, il se produit en raison de nombreux échecs de tentatives de connexion ou de compte d'expiration définie dans la stratégie par défaut dans le KDC.compte peut être déverrouillé à l'aide d'kadmin des commandes comme kadmin:modprinci
spark/capital, mais j'ai de la croix vérifié avec AD admin. Il nous dit de ne pas utiliser de serveur contrôleur de domaine kerberos pour exécuter kadmin commandes que nous utilisons AD mais dit étincelle compte est débloqué l'état lors de la vérifier à l'aide d'AD de l'INTERFACE utilisateur.
Mes questions:
Est-il une commande de déverrouillage de l'étincelle compte dans l'AD?
J'ai fatigué retrait étincelle de service et re installer dans mon cluster, qui ne se régénérer nouvelle keytab ou principal pour éviter révoqué erreur de AD. Vu si toute étincelle compte local qui provoque cette erreur.
AD admin m'a donné les détails du serveur et le mot de passe avec des privilèges limités à faire de recherche ldap et supprimer des commandes. Puis-je utiliser ces privilèges pour déverrouiller étincelle? Et comment le faire?
- J'ai HDP cluster configuré avec le protocole kerberos avec AD. Tous les HDP les comptes de service des directeurs et des keytabs générés, y compris étincelle. je sais que les comptes de service n'aura pas de mots de passe et définir à pas de date d'expiration. Maintenant, tout en faisant kinit -kt étincelle.keytab-p spark-PRINCIPAL, j'obtiens l'erreur suivante. "kinit: les Clients les informations d'identification ont été abrogées lors de l'obtention initiale des informations d'identification"
- "les comptes de service n'aura pas de mots de passe" -- oui, ils ont un mot de passe; le fichier keytab est juste un fichier contenant une version cryptée du mot de passe. C'est juste qu'il n'y a pas moyen de trouver le mot de passe d'origine, après qu'il a été hachés et oublié.
Vous devez vous connecter pour publier un commentaire.
L'erreur vous a présenté: "kinit: les Clients les informations d'identification ont été abrogées lors de l'obtention initiale des informations d'identification" désigne le compte Active Directory auquel le fichier keytab est liée a été désactivé, fermé, périmées, ou supprimé.
Par défaut, on ne peut pas déverrouiller leur propre compte dans l'AD (sauf s'ils sont d'Administrateur de Domaine, le Domaine Compte d'un Opérateur ou d'un membre d'une autre administrativement groupe de privilégiés). L'ANNONCE de l'admin aurait besoin de vous accorder ces droits. Basé sur la description du problème, il semble tout à fait possible que l'ANNONCE de l'admin est en regardant le mauvais compte. Par exemple, si vous exécutez la commande:
où "HTTP/somedomain.locaux" représente le nom principal de service dans ce cas, la sortie va révéler le nom du compte d'ANNONCE lié à la SPN et keytab - votre ANNONCE admin besoin de regarder ce compte et de déterminer si sa été désactivé, fermé, expiré, ou supprimés, et prendre des mesures correctives.
Question:
kinit clients les informations d'identification ont été abrogées lors de l'obtention initiale des informations d'identification
La solution est très simple. Vérifiez le WMI compte dans active directory. Le WMI ou WMI_query compte doit avoir été verrouillé. Ce qui déclenche cette erreur.
Solution: déverrouiller le WMI_query compte dans active directory. Les rafraîchir à quelques reprises. Problème résolu.
Merci
Hamid Bhalli