我的hdp群集配置了带有AD的kerberos。所有HDP服务帐户都生成了包括spark在内的主体和密钥。
我知道服务帐户没有密码并且设置为未满。
现在,在执行kinit -kt spark.keytab -p spark-PRINCIPAL时,我收到以下错误(请参阅标题)。
我在麻省理工学院网站上看到,由于许多登录尝试失败或KDC中的默认策略设置了帐户到期,因此可以使用kadmin命令解锁,例如kadmin:modprinci spark / principal但我已经与AD交叉检查了管理员。他说我们不使用kdc服务器来执行kadmin命令,因为我们使用AD但是当使用AD UI检查时,spark account处于解锁状态。
我的问题:
AD中是否有解锁spark帐户的命令?
我已经厌倦了删除spark服务并在我的集群中重新安装,它确实重新生成了新的keytab或principal,以避免AD被撤销的错误。看到任何火花本地帐户导致此错误。
AD管理员给了我有限权限的服务器详细信息和密码来执行ldap搜索和删除命令。我可以使用这些权限解锁火花吗?怎么做?
答案 0 :(得分:1)
您提供的错误:“kinit:客户端凭据在获取初始凭据时已被撤消”表示与keytab相关的Active Directory帐户已被禁用,锁定,已过期或已删除。
默认情况下,无法在AD中解锁自己的帐户(除非他们是域管理员,域帐户操作员或某些其他管理特权组的成员)。 AD管理员需要授予您这些权利。基于问题描述,AD管理员完全有可能查看错误的帐户。例如,如果您运行命令:
setspn -Q HTTP/somedomain.local
其中“HTTP / somedomain.local”代表SPN,在这种情况下,输出将显示绑定到SPN和keytab的AD帐户的名称 - 您的AD管理员需要查看该帐户并确定其是否已被禁用,锁定,过期或删除并采取纠正措施。
答案 1 :(得分:1)
问题: 获得初始凭证时,kinit客户端凭证已被撤销
解决方案非常简单。检查活动目录中的WMI帐户。 WMI或WMI_query帐户必须已被锁定。会触发此错误。
解决方案:在活动目录中解锁WMI_query帐户。刷新几次。问题解决了。 谢谢 哈米德·巴利
答案 2 :(得分:0)
有时,当您的用户密码更改时,您可能会收到此错误。它发生在我身上,谷歌的第一个结果将我带到了这个页面,但上述解决方案没有奏效。
解决方案:运行
kdestroy
关注
kinit