让我的kadmin工作有点麻烦。在kadmin.local中一切都很好,但每当我使用kadmin时,似乎它使用的是kadm5.acl文件,但不是。
我在这个文件中: $ cat /var/kerberos/krb5kdc/kadm5.acl
*/admin@HADOOP.COM *
kadmin可以正确连接到kdc服务器,而dns查找和反向dns也可以正常工作。
我的krb5.conf是这样的: $ cat /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
HADOOP.COM = {
admin_keytab = FILE: /var/kerberos/krb5kdc/kadm5.keytab
kadmind_port = 749
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
database_name = /var/kerberos/krb5kdc/principal
acl_file = /var/kerberos/krb5kdc/kadm5.acl
#key_stash_file = /var/kerberos/krb5kdc/.k5.HADOOP.COM
}
和$ cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = HADOOP.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
HADOOP.COM = {
kdc = evl2400469.eu.verio.net:88
admin_server = evl2400469.eu.verio.net:749
default_domain = hadoop.com
}
[domain_realm]
.hadoop.com = HADOOP.COM
hadoop.com = HADOOP.COM
因此,当我尝试执行添加主体的操作或获取主体列表时,我得到: kadmin:listprincs get_principals:检索列表时,操作需要“列表”权限。 kadmin:getprivs 当前权限:获取添加修改删除
我真的不知道配置中的问题在哪里。
我甚至试图在使用kadmin控制台之前获得一张票: $ klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal:
kadmin/admin@HADOOP.COM
Valid starting Expires Service principal 05/21/14
10:13:34 05/21/14 13:13:34 krbtgt/HADOOP.COM@HADOOP.COM
renew until 05/22/14 10:13:34
Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached
非常感谢你的帮助:)
答案 0 :(得分:2)
尝试使用
编辑/var/kerberos/krb5kdc/kadm5.acl
*/admin@HADOOP.COM *
需要重新启动kadmind守护程序才能使ACL文件中的更改生效:
service kadmind restart