我的 hdp 集群配置了带有 AD 的 kerberos。所有 HDP 服务帐户都生成了主体和密钥表,包括 Spark。
我知道服务帐户不会有密码并设置为过期。 现在,在执行
kinit -kt spark.keytab -p spark-PRINCIPAL我在 MIT 网站上读到,出现这种情况的原因是多次登录尝试失败或 KDC 默认策略中设置的帐户到期。可以使用 kadmin 命令(例如
kadmin:modprinci我的问题:
AD中有没有解锁spark账户的命令?
我厌倦了删除 Spark 服务并重新安装在我的集群中,这确实重新生成了新的密钥表或主体以避免 AD 撤销错误。查看是否有任何引发此错误的本地帐户。
AD 管理员向我提供了服务器详细信息和密码,并具有执行 ldap 搜索和删除命令的有限权限。我可以使用这些权限来解锁 Spark 吗?以及如何做到这一点?
问题: kinit 客户端凭据在获取初始凭据时已被撤销
解决方案非常简单。检查活动目录中的 WMI 帐户。 WMI 或 WMI_query 帐户必须已被锁定。这会触发此错误。
解决方案:解锁活动目录中的WMI_query帐户。刷新几次就好了问题已解决。 谢谢 哈米德·巴利
您提出的错误:“kinit:获取初始凭据时客户端凭据已被撤销”表示与密钥表相关的 Active Directory 帐户已被禁用、锁定、过期或删除。
默认情况下,用户无法在 AD 中解锁自己的帐户(除非他们是域管理员、域帐户操作员或某些其他管理特权组的成员)。 AD 管理员需要授予您这些权限。 根据问题描述,AD 管理员完全有可能查看了错误的帐户。 例如,如果您运行命令:
setspn -Q HTTP/somedomain.local
在这种情况下,“HTTP/somedomain.local”代表 SPN,输出将显示与 SPN 和密钥表关联的 AD 帐户的名称 - 您的 AD 管理员需要查看该帐户并确定其是否已被禁用、锁定、已过期或已删除并采取纠正措施。
有时,当您的用户密码更改时,您可能会收到此错误。这发生在我身上,谷歌的第一个结果将我带到了这个页面,但上面的解决方案不起作用。
解决方案:运行
kdestroy随后
kinitkinit:在获取初始凭据时客户端的凭据已被撤销 我已经使用 AD 配置了 kerberos 的 hdp 集群。所有 HDP 服务帐户都生成了主体和密钥表,包括 Spark。 我知道服务帐户不会有密码并设置为 unex...