Kerberos验证失败:Kinit: Ticket expired while renewing credentials

最新推荐文章于 2024-09-13 08:49:47 发布
最新推荐文章于 2024-09-13 08:49:47 发布
阅读量1k 收藏
点赞数
分类专栏: hadoop kerberos配置大數據環境 文章标签: kerberos hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37759590/article/details/131527433
版权
文章描述了一个Hadoop环境中遇到的Kerberos验证失败的问题,具体表现为票据过期。在尝试多种解决方案后,通过更新所有Principal的最大可续期生命周期,删除并重新生成Keytab文件,以及使用kinit命令进行验证,最终解决了问题。这可能是由于票据生命周期设置不当或管理问题导致的。
摘要由CSDN通过智能技术生成

Kerberos验证失败:

提示:这里简述项目相关背景:

问题描述

Kerberos验证失败,原因是票据过期了

例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据
APP 中接收数据代码:

sudo -i -u hdfs hdfs haadmin -getServiceState nn1
2023-07-03 14:20:45,594 WARN security.UserGroupInformation: Exception encountered while running the renewal command for hdfs/hadoop@EXAMPLE.COM. (TGT end time:1688179347000, renewalFailures: 0,renewalFailuresTotal: 1)
ExitCodeException exitCode=1: kinit: Ticket expired while renewing credentials

	at org.apache.hadoop.util.Shell.runCommand(Shell.java:1009)
	at org.apache.hadoop.util.Shell.run(Shell.java:902)
	at org.apache.hadoop.util.Shell$ShellCommandExecutor.execute(Shell.java:1227)
	at org.apache.hadoop.util.Shell.execCommand(Shell.java:1321)
	at org.apache.hadoop.util.Shell.execCommand(Shell.java:1303)
	at org.apache.hadoop.security.UserGroupInformation$AutoRenewalForUserCredsRunnable.run(UserGroupInformation.java:899)
	at java.lang.Thread.run(Thread.java:750)
2023-07-03 14:20:45,612 ERROR security.UserGroupInformation: TGT is expired. Aborting renew thread for hdfs/hadoop@EXAMPLE.COM.
2023-07-03 14:20:50,606 WARN security.UserGroupInformation: Not attempting to re-login since the last re-login was attempted less than 60 seconds before. Last Login=1688365245754
2023-07-03 14:20:52,435 WARN security.UserGroupInformation: Not attempting to re-login since the last re-login was attempted less than 60 seconds before. Last Login=1688365245754
2023-07-03 14:20:52,767 WARN security.UserGroupInformation: Not attempting to re-login since the last re-login was attempted less than 60 seconds before. Last Login=1688365245754
2023-07-03 14:20:53,656 WARN security.UserGroupInformation: Not attempting to re-login since the last re-login was attempted less than 60 seconds before. Last Login=1688365245754
2023-07-03 14:20:54,741 WARN ipc.Client: Couldn't setup connection for hdfs/hadoop@EXAMPLE.COM to hadoop102/172.16.10.137:8020
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:211)
	at org.apache.hadoop.security.SaslRpcClient.saslConnect(SaslRpcClient.java:408)
	at org.apache.hadoop.ipc.Client$Connection.setupSaslConnection(Client.java:627)
	at org.apache.hadoop.ipc.Client$Connection.access$2300(Client.java:421)
	at org.apache.hadoop.ipc.Client$Connection$2.run(Client.java:814)
	at org.apache.hadoop.ipc.Client$Connection$2.run(Client.java:810)
	at java.security.AccessController.doPrivileged(Native Method)
	at javax.security.auth.Subject.doAs(Subject.java:422)
	at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1729)
	at org.apache.hadoop.ipc.Client$Connection.setupIOstreams(Client.java:810)
	at org.apache.hadoop.ipc.Client$Connection.access$3800(Client.java:421)
	at org.apache.hadoop.ipc.Client.getConnection(Client.java:1606)
	at org.apache.hadoop.ipc.Client.call(Client.java:1435)
	at org.apache.hadoop.ipc.Client.call(Client.java:1388)
	at org.apache.hadoop.ipc.ProtobufRpcEngine$Invoker.invoke(ProtobufRpcEngine.java:233)
	at org.apache.hadoop.ipc.ProtobufRpcEngine$Invoker.invoke(ProtobufRpcEngine.java:118)
	at com.sun.proxy.$Proxy8.getServiceStatus(Unknown Source)
	at org.apache.hadoop.ha.protocolPB.HAServiceProtocolClientSideTranslatorPB.getServiceStatus(HAServiceProtocolClientSideTranslatorPB.java:136)
	at org.apache.hadoop.ha.HAAdmin.getServiceState(HAAdmin.java:409)
	at org.apache.hadoop.ha.HAAdmin.runCmd(HAAdmin.java:510)
	at org.apache.hadoop.hdfs.tools.DFSHAAdmin.runCmd(DFSHAAdmin.java:121)
	at org.apache.hadoop.ha.HAAdmin.run(HAAdmin.java:434)
	at org.apache.hadoop.util.ToolRunner.run(ToolRunner.java:76)
	at org.apache.hadoop.util.ToolRunner.run(ToolRunner.java:90)
	at org.apache.hadoop.hdfs.tools.DFSHAAdmin.main(DFSHAAdmin.java:135)
Caused by: GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)
	at sun.security.jgss.krb5.Krb5InitCredential.getInstance(Krb5InitCredential.java:162)
	at sun.security.jgss.krb5.Krb5MechFactory.getCredentialElement(Krb5MechFactory.java:122)
	at sun.security.jgss.krb5.Krb5MechFactory.getMechanismContext(Krb5MechFactory.java:189)
	at sun.security.jgss.GSSManagerImpl.getMechanismContext(GSSManagerImpl.java:224)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:212)
	at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
	at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:192)
	... 24 more
Operation failed: DestHost:destPort hadoop102:8020 , LocalHost:localPort hadoop102/172.16.10.xxx:0. Failed on local exception: java.io.IOException: Couldn't setup connection for hdfs/hadoop@EXAMPLE.COM to hadoop102/172.16.10.xxx:8020

原因分析:

原因现在暂时还不太清楚,应该是票据过期的原因,在网上查找了解决方案,大部分都是说是JDK的原因,但是我感觉不太像,而且我也不想去处理JDK

解决方案:

今天我试试环境,发现突然行了,具体如何解决的,暂时还不太清楚,只能记录之前的操作
1.更新所有的principal

modprinc -maxrenewlife 1week admin/admin@EXAMPLE.COM
modprinc -maxrenewlife 1week atlas/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week dn/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week dn/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week dn/hadoop104@EXAMPLE.COM
modprinc -maxrenewlife 1week hbase/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week hbase/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week hbase/hadoop104@EXAMPLE.COM
modprinc -maxrenewlife 1week hdfs/hadoop@EXAMPLE.COM
modprinc -maxrenewlife 1week hive/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week jhs/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week jn/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week jn/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week jn/hadoop104@EXAMPLE.COM
modprinc -maxrenewlife 1week kadmin/admin@EXAMPLE.COM
modprinc -maxrenewlife 1week kadmin/changepw@EXAMPLE.COM
modprinc -maxrenewlife 1week kadmin/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week kafka-client@EXAMPLE.COM
modprinc -maxrenewlife 1week kafka/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week kafka/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week kafka/hadoop104@EXAMPLE.COM
modprinc -maxrenewlife 1week kiprop/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week krbtgt/EXAMPLE.COM@EXAMPLE.COM
modprinc -maxrenewlife 1week maxwell@EXAMPLE.COM
modprinc -maxrenewlife 1week nm/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week nm/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week nm/hadoop104@EXAMPLE.COM
modprinc -maxrenewlife 1week nn/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week nn/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week rangeradmin/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week rangerlookup/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week rangerlookup@EXAMPLE.COM
modprinc -maxrenewlife 1week rangerusersync/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week rm/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week rm/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week rm/hadoop104@EXAMPLE.COM
modprinc -maxrenewlife 1week sarah@EXAMPLE.COM
modprinc -maxrenewlife 1week solu@EXAMPLE.COM
modprinc -maxrenewlife 1week test@EXAMPLE.COM
modprinc -maxrenewlife 1week xwq@EXAMPLE.COM
modprinc -maxrenewlife 1week zookeeper/hadoop102@EXAMPLE.COM
modprinc -maxrenewlife 1week zookeeper/hadoop103@EXAMPLE.COM
modprinc -maxrenewlife 1week zookeeper/hadoop104@EXAMPLE.COM

2.删除hdfs principal和keytab文件
3.重新生成principal和keytab文件
4.使用kinit -kt进行验证

ysksolution
关注
专栏目录
HoodieException: Timeout expired while fetching topic metadata 错误解决方法
Laurence的技术博客
07-11 943
该问题发生在提交Apache Hudi DeltaStreamer作业时,DeltaStreamer作业会读取Kafka中的CDC消息,并落地为一张Hudi表,这是DeltaStreamer的主要功能。从字面意义上分析,这个错误的原因是DeltaStreamer在连接Kafka时超时,故而无法读取topic,在排除了网络因素之后(一条用有的经验:在AWS上,排除网络防火墙因素的快速方法是将所在VPC的安全组短暂设为全开(仅供参考,须自行评估风险),测试通过就是网络问题了,后面精心配置一下安全组即可),问题锁
聊聊 kerberos 的 kinit 命令和 ccache 机制
明哥的IT随笔
03-11 4534
1. 前言 大家好,最近遇到了个 kerberos 相关问题,“客户端节点上执行 kinit -R 命令报错:KDC can’t fulfill requested option while renewing credentials”, 在次跟大家分享下问题的解决方式,和背后的相关知识点,主要涉及到 kerberos 的 kinit 命令和 ccache 机制。 2. 问题现象与问题日志 问题现象: 客户端执行命令 kinit -R 报错: “KDC can’t fulfill requested opt
Hbase 自动续约kerberos认证失败
biaoge20150414的专栏
12-23 4309
1.问题情况 日志中存在大量的: org.apache.hadoop.security.UserGroupInformation Not attempting to re-login since the last re-login was attempted less than 600 seconds before Caused by: org.ietf.jgss.GSSExcepti...
报错:Ticket expired while renewing credentials 原因:Hue 集成Kerberos 导致Kerberos Ticket Renewer 起不来
qq_43688472的博客
03-03 2763
报错:Ticket expired while renewing credentials 原因:Hue 集成Kerberos 导致Kerberos Ticket Renewer 起不来 图片: 报错,Kerberos Ticket Renewer 起不来,查看日志 [19/Jan/2018 07:10:08 +0000] kt_renewer INFO Renewing kerber...
CDH开启kerberos报错:Ticket expired
qq_32068809的博客
08-19 923
我是参考cloudera官方文档上的开启kerberos向导做的,地址:https://docs.cloudera.com/cdp-private-cloud-base/7.1.5/security-kerberos-authentication/topics/cm-security-kerberos-enabling-step4-kerberos-wizard.html 开启过程中,最后的启动集群步骤开始报错,报错的服务有kafka、hbase、JobHistory等,相关日志如下: kafka、hb
kerberos 票据过期_Kerberos安全体系详解
weixin_39848953的博客
11-26 1126
1. Kerberos简介1.1. 功能一个安全认证协议用tickets验证避免本地保存密码和在互联网上传输密码包含一个可信任的第三方使用对称加密客户端与服务器(非KDC)之间能够相互验证Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。1.2. 概念首次请求,三次通信方the Authentication Serverthe Ticket Gra...
linux加入域服务器证书,linux服务器加入windows域时报错Ticket expired
weixin_28795271的博客
04-29 110
UIView中的坐标转换在使用 UITableViewCell 的frame属性获取origin得到的坐标是不变的. 也就是说如果UITableView初始化完毕后,每个cell的坐标是固定的,x不变,y 随index递增的 ...[Android Tips] 9. framework notification layout font ...
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级Kerberos Server docker映像。 用法 Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 ...
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials"
qq_43552708的博客
04-19 2426
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials" 关于Kerberos KDC主从搭建的帖子有很多,大体的思路都对,但是动手实际搭建一套KDC主从环境就可以发现某些帖子写得还是有些许问题的,这里推荐两个比较好的手册: Kerberos官方文档: http://web.m...
DNS、DHCP、Kerberos和Radius:云计算基础服务组件
01-20
在云计算环境中,基础服务组件是构建高效、安全网络服务的核心,包括DNS(Domain Name System)、DHCP(Dynamic Host Configuration Protocol)、Kerberos和Radius。这些技术对于管理和控制网络中的资源分配、用户...
调试IIS7 Kerberos认证错误:KRB_AP_ERR_MODIFIED
weixin_30463341的博客
03-14 1269
问题简介 KRB_AP_ERR_MODIFIED是一种常见的 Kerberos 认证失败消息。意思是在服务器上客户端发送加密的 Kerberos 身份验证数据没有被正确解密。当 Kerberos客户端为某服务请求票据时,通过SPN标识该服务,KDC授予客户端通过服务密钥加密的服务票据。通常情况下是与SPN匹配的AD帐户的密码。 有些时候KDC可能会生成一个通过错误的账号信息加密的服务票据。当客...
解决DolphinScheduler配置Kerberos过期问题(无效,请看完结版)
qq_18453581的博客
05-26 1510
DolphinScheduler除了kerberos.expire.time注释掉,其他正常配置,定时更新ticket在20点,几乎没有任务运行,klist中renew until 2023-06-01T20:00:01,之前失效的都是整点无法自动续期时renew until时间固定不变,自动续期时renew until每天更新。
Kerberos ticket lifetime及其它
weixin_34308389的博客
06-29 243
前言 之前的博文中涉及到了Kerberos的内容,这里对Kerberos ticket lifetime相关的内容做一个补充。 ticket lifetime Kerberos ticket具有lifetime,超过此时间则ticket就会过期,需要重新申请或renewticket lifetime取决于以下5项设置中的最小值: Kerberos server上/var/kerber...
kerberos认证出现的问题
webosvh的博客
04-07 1633
原因(我遇到的):项目中实现了dubbo接口,以zookeeper作为注册中心,dubbo初始化时java.security.auth.login.config加载到jvm中,导致后续认证添加时无法改动。问题详情:域名问题,查看kafka 配置项的域名是否正确,我的问题是kafka jar包未使用。kafka-clients-2.4.0-hw-ei.jar,导致域名部分设置错误。解决:使用kafka-clients-2.4.0-hw-ei.jar包。
Kerberos ticket lifetime
大数据姐姐
02-28 5802
Ticket lifetime## 标题 ## Kerberos ticket具有lifetime,超过此时间则ticket就会过期,需要重新申请或者renewTicket lifetime取决于以下5项设置中的最小值: 1.kerberos Server上的/var/kerberos/krb5kdbc/kdc.conf中的max_life 2.内置principal krbtgt的max...
Kerberos 的安装和使用
u011250186的博客
11-25 3847
Kerberos 的安装和使用
java kerberos tgt_kerberos的tgt时间理解
weixin_36296983的博客
02-23 388
之前在impala集成kerberos时,遇到了时间相关的问题,当时没有做充分的测试,对某些理解有些问题(http://caiguangguang.blog.51cto.com/1652935/1381323),今天正好做了下测试,总结如下:1.klist中expires以及renew until是由client端的/etc/krb5.conf配置文件中的参数决定(在没有超过max的情况)。ser...
Hadoop安全实践
一个有情怀的程序猿博客
07-14 1082
前言 在2014年初,我们将线上使用的 Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。 背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显得颇为重要。说到安全问题,一般包括如下方面: 用户认证(Authentication) 即是对用户身份进行核对, ..
WPF中图片的宫格显示
最新发布
Vae2437426397的博客
09-13 491
使用ScrollViewer控件来达到滑动的效果- 使用WrapPanel的自动换行特性,保证图片在占满横向空间后自动往下排布- 使用foreach的方法来游历所有的图片url。
Kerberos安全协议解析:Ticket Granting Ticket与Session Key
Kerberos是一种广泛采用的安全认证协议,它的核心目标是确保网络中的身份验证过程安全可靠,防止中间人攻击和其他安全威胁。该系统主要由三个关键组件组成:Authentication Server(AS)、Ticket Granting Server...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ysksolution

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值