1. Zuhause
  2. Frage und Antwort
  3. kinit: Die Anmeldeinformationen des Clients wurden widerrufen, während die ersten Anmeldeinformationen abgerufen werden

kinit: Die Anmeldeinformationen des Clients wurden widerrufen, während die ersten Anmeldeinformationen abgerufen werden

2016-11-25 2 views
1

Ich habe HDP-Cluster mit Kerberos mit AD konfiguriert. Alle HDP-Dienstkonten haben Principals und Keytabs einschließlich Spark generiert.kinit: Die Anmeldeinformationen des Clients wurden widerrufen, während die ersten Anmeldeinformationen abgerufen werden

Ich weiß, dass Dienstkonten keine Passwörter haben und auf "Unerwartet" gesetzt werden. Jetzt, während ich kinit -kt spark.keytab -p spark-PRINCIPAL mache, erhalte ich den folgenden Fehler (siehe Titel).

las ich in MIT Website es wegen der vielen erfolglosen Anmeldeversuche oder Konto Ablauf Satz geschieht in Standardrichtlinie in KDC.account freigeschaltet werden können kadmin Kommandos wie kadmin:modprinci Funke/Auftraggeber mit, aber ich habe Kreuz mit AD Admin geprüft. Er sagt, dass wir keinen kdc-Server verwenden, um kadmin-Befehle auszuführen, wo wir AD verwenden, aber sagt, dass Spark Account bei Aktivierung mit AD UI entsperrt ist.

Meine Fragen:

Gibt es irgendwelche Befehle Funkenkonto in AD zu entsperren?

Ich habe müde, Funken Service zu entfernen und neu in meinem Cluster, die neue Keytab oder Principal zu regenerieren, um widerrufenen Fehler von AD zu vermeiden. Wenn ein lokales Spark-Konto diesen Fehler verursacht.

AD admin hat mir Serverdetails und ein Passwort mit eingeschränkten Rechten gegeben, um ldap Such- und Löschbefehle auszuführen. Kann ich diese Privilegien verwenden, um Funken freizuschalten? Und wie geht das?

Quelle

2016-11-25 kawad

+0

Ich habe HDP-Cluster mit Kerberos mit AD konfiguriert. Alle HDP-Dienstkonten haben Principals und Keytabs einschließlich Spark generiert. Ich weiß, dass Dienstkonten keine Passwörter haben und auf "Nein" festgelegt werden. Jetzt, während ich kinit -kt spark.keytab -p spark-PRINCIPAL mache, bekomme ich den folgenden Fehler. "kinit: Die Anmeldeinformationen des Clients wurden widerrufen, während die ursprünglichen Anmeldeinformationen abgerufen werden" – kawad

+0

* "Dienstkonten haben keine Kennwörter" * - Ja, sie ** haben ** ein Kennwort; Die * keytab * ist nur eine Datei, die eine Hash-Version dieses Passworts enthält. Es ist nur so, dass es keine Möglichkeit gibt, das ursprüngliche Passwort zu finden, nachdem es gehackt und vergessen wurde. –

Antwort

0

Der angezeigte Fehler: "kinit: Die Anmeldeinformationen des Clients wurden widerrufen, während die ersten Anmeldeinformationen abgerufen wurden" bedeutet, dass das Active Directory-Konto deaktiviert wurde, gesperrt wurde, abgelaufen ist oder gelöscht wurde.

Standardmäßig kann in AD kein eigenes Konto entsperrt werden (es sei denn, sie sind Domänenadministrator, Domänenkontooperator oder Mitglied einer anderen administrativ privilegierten Gruppe). Der AD-Administrator muss Ihnen diese Rechte gewähren. Basierend auf der Problembeschreibung klingt es durchaus möglich, dass der AD-Administrator auf das falsche Konto schaut. Wenn Sie zum Beispiel den folgenden Befehl ausführen:

setspn -Q HTTP/somedomain.local

wo „HTTP/somedomain.local“ den SPN in diesem Fall darstellt, wird der Ausgang den Namen des AD-Konto offenbaren gebunden an die SPN und keytab - AD Admin muss sich dieses Konto ansehen und feststellen, ob es deaktiviert, gesperrt, abgelaufen oder gelöscht wurde, und korrigierende Maßnahmen ergreifen.

Quelle

2016-11-26 01:08:33

Verwandte Themen

 Verwandte Themen