我用kerberos和ad配置了hdp集群。所有hdp服务帐户都生成了主体和键表,包括spark。
我知道服务帐户将没有密码,并设置为未过期。现在在做 kinit -kt spark.keytab -p spark-PRINCIPAL 我得到以下错误(见标题)。
我在麻省理工学院的网站上看到,这种情况是由于多次登录失败或kdc默认策略中设置的帐户过期而导致的 kadmin:modprinci spark/校长,但我已经和广告管理员核对过了。他说,我们不使用kdcserver来执行kadmin命令,因为我们使用ad,但spark帐户在使用adui检查时处于解锁状态。
我的问题:
有什么命令可以解锁广告中的spark帐户吗?
我已经厌倦了删除Spark服务,并重新安装在我的集群中,它确实重新生成了新的键表或主体,以避免从广告吊销错误。如果有任何Spark本地帐户导致此错误。
ad管理员给了我服务器的详细信息和密码,有有限的权限执行ldap搜索和删除命令。我可以使用这些特权解锁spark吗?如何做到这一点?
2条答案
按热度按时间k7fdbhmy1#
问题:获取初始凭据时,kinit客户端凭据已被吊销
解决办法很简单。检查active directory中的wmi帐户。wmi或wmi查询帐户必须已锁定。在上触发此错误。
解决方案:在active directory中解锁wmi\U查询帐户。刷新几次。问题已解决。谢谢哈米德·巴利
balp4ylt2#
出现的错误:“kinit:客户端凭据在获取初始凭据时已被吊销”表示与keytab相关的active directory帐户已被禁用、锁定、过期或删除。
默认情况下,不能在ad中解锁自己的帐户(除非他们是域管理员、域帐户操作员或其他管理特权组的成员)。广告管理员需要授予你这些权利。根据问题描述,这听起来完全有可能是广告管理员看错了帐户。例如,如果运行以下命令:
其中“http/somedomain.local”表示spn在本例中,输出将显示绑定到spn和keytab的ad帐户的名称-您的ad管理员需要查看该帐户,确定其是否已被禁用、锁定、过期或删除,并采取纠正措施。