我是参考cloudera官方文档上的开启kerberos向导做的,地址:https://docs.cloudera.com/cdp-private-cloud-base/7.1.5/security-kerberos-authentication/topics/cm-security-kerberos-enabling-step4-kerberos-wizard.html
开启过程中,最后的启动集群步骤开始报错,报错的服务有kafka、hbase、JobHistory等,相关日志如下:
kafka、hbase等日志:
JobHistory日志:
通过日志可以看到都在提示票据过期,于是检查了krb5.conf、kdc.conf文件的相关配置,配置似乎没有大碍,内容如下:
于是,在服务器上拿了一个cm自动生成的keytab(/var/run/cloudera-scm-agent/process/15-hdfs-DATANODE/hdfs.keytab)尝试做一下kinit看看是否真过期,但是结果如下:
这个错误似乎是在提示不支持这个版本keytab的格式,于是考虑是kerberos的版本不兼容导致,正好之前也看到有人说是kerberos版本有时不兼容的问题,链接:https://community.cloudera.com/t5/Support-Questions/Kerberos-ticket-expired-kinit-keytab-successfully-java/td-p/80522
这里的回复者里给出了这样的提示:
于是更换版本为1.15.50后,问题解决。这个日志提示还是很坑的,kerberos的风格向来如此。