我在Cloudera 5 beta上启用了安全模式。使用cloudera管理器并在执行第8步安全性启用来自here cloudera管理器的文档之后,应该激活生成凭据命令,但事实并非如此。
所以我正在做的是手动运行Generate Credential,但是它在日志中给我错误,即
KADMIN='kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN'
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'addprinc -randkey hue/cdh4hdm@IMP.CO.IN'
WARNING: no policy specified for hue/cdh4hdm@IMP.CO.IN; defaulting to no policy
add_principal: Operation requires ``add'' privilege while creating "hue/cdh4hdm@IMP.CO.IN".
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'xst -k /tmp/cmf4198733808580266866.keytab hue/cdh4hdm@IMP.CO.IN'
kadmin: Operation requires ``change-password'' privilege while changing hue/cdh4hdm@IMP.CO.IN's key
+ chmod 600 /tmp/cmf4198733808580266866.keytab
chmod: cannot access `/tmp/cmf4198733808580266866.keytab': No such file or directory
我的问题我如何给予kadmin add principle特权或如何使用kadmin.local运行此命令?
有什么方法可以让我摆脱这个问题...
答案 0 :(得分:4)
需要一些配置来提供用户主体以使用kadmin创建任何原则。
必须编辑 kadm5.acl 文件并在kadm5.acl文件中添加以下条目:
*/admin@EXAMPLE.COM
这里*表示通配符,因此匹配kadm5.acl中提供的字符串的用户主体将能够创建任何主体,例如:
root/admin@EXAMPLE.COM
更改配置后,需要重新启动Kerberos以使更改生效。有关详细信息,请参阅this
答案 1 :(得分:0)
我遇到了同样的问题,并通过启动kadmind服务解决了问题。