我有用kerberos配置AD的hdp集群。所有HDP服务帐户都有生成的主体和密钥表,包括spark。kinit:获取初始凭据时客户端凭据已被吊销
我知道服务帐户将不会有密码并且设置为未到期。 现在在做kinit -kt spark.keytab -p spark-PRINCIPAL
时出现以下错误(请参阅标题)。
我在麻省理工学院的网站上看到,这是由于许多登录尝试失败或在KDC.account的默认策略中设置的帐户失效可以使用kadmin命令解锁,如kadmin:modprinci
spark/principal,但我已经与AD管理员进行了交叉检查。他说我们不使用kdc服务器来执行kadmin命令,因为我们使用AD,但是当使用AD UI进行检查时,说明spark帐户处于解锁状态。
我的问题:
有解锁火花帐户在AD的任何命令?
我已经厌倦了删除火花服务,并重新安装在我的集群中,它重新生成新的密钥表或主体以避免从AD撤消错误。查看是否有任何火花本地帐户导致此错误。
AD管理员给了我服务器的详细信息和密码,使用有限的权限来执行ldap搜索和删除命令。我可以使用这些权限解锁火花吗?以及如何做到这一点?
我有用kerberos配置AD的HDP集群。所有HDP服务帐户都有生成的主体和密钥表,包括spark。 我知道服务帐户将不会有密码,并设置为不过期。现在做kinit -kt spark.keytab -p spark-princlip我得到以下错误。 “kinit:客户端凭证已被吊销,而获得初始凭证” – kawad
*“服务帐户不会有密码”* - 是的,他们**有**密码; * keytab *只是一个包含该密码散列版本的文件。只是在哈希和被遗忘后没有办法找到原始密码。 –