我正在启用Cloudera5测试版的安全模式。使用cloudera manager并在执行安全启用文档的第8步后,cloudera manager应该从这里触发generate credential命令,但实际上不是。
所以我要做的是手动运行generate credential,但是它在logs ie中给了我错误。
KADMIN='kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN'
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'addprinc -randkey hue/cdh4hdm@IMP.CO.IN'
WARNING: no policy specified for hue/cdh4hdm@IMP.CO.IN; defaulting to no policy
add_principal: Operation requires ``add'' privilege while creating "hue/cdh4hdm@IMP.CO.IN".
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'xst -k /tmp/cmf4198733808580266866.keytab hue/cdh4hdm@IMP.CO.IN'
kadmin: Operation requires ``change-password'' privilege while changing hue/cdh4hdm@IMP.CO.IN's key
+ chmod 600 /tmp/cmf4198733808580266866.keytab
chmod: cannot access `/tmp/cmf4198733808580266866.keytab': No such file or directory似乎卡德明不能创造原则。
我的问题是如何授予kadmin add principle特权,或者如何使用kadmin.local运行此命令?
有没有办法让我摆脱这个问题。。。
2条答案
按热度按时间wbrvyc0a1#
我也遇到了同样的问题,通过启动
kadmind服务。8xiog9wr2#
需要一些配置来提供用户主体,以便使用kadmin创建任何主体。
必须编辑kadm5.acl文件并在中添加以下条目
kadm5.acl文件:这里*表示通配符,因此与kadm5.acl中提供的字符串匹配的用户主体将能够创建任何主体,例如:
更改配置之后,需要重新启动kerberos以使更改生效。有关更多详细信息,请参阅