前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >0851-7.1.6-导入 Kerberos Account Manager 凭据失败

0851-7.1.6-导入 Kerberos Account Manager 凭据失败

作者头像
Fayson
发布2021-07-05 15:26:54
1K0
发布2021-07-05 15:26:54
举报
文章被收录于专栏:Hadoop实操

1.问题描述

CDP7.1.6集群在启用Kerberos的操作中,导入KDC Account Manager凭证时报如下异常:

  • 测试环境:

1.操作系统版本为7.8

2.Kerberos版本为1.15.1-46

3.CDH版本为7.1.6,CM版本为7.3.1

2.异常分析

1.根据报错日志可以看到,导入KDC Account Manager操作过程中会在/var/run/cloudera-scm-server目录下生成一个keytab文件

2.经检查是否生成keytab文件(进行此步骤前需保证本地安装的Kerberos所有配置及用户没有问题)

3.通过执行脚本中的命令,来生成一个keytab文件进行测试,操作命令如下:

代码语言:javascript
复制
ktutil
addent -password -p cloudera-scm/admin -k 1 -e rc4-hmac
wkt cloudera.keyrab
kinit -kt cloudera.keytab cloudera-scm/admin

如上图keytab生成过后还是不能登陆cloudera-scm/admin用户,此时怀疑是加密类型不匹配导致。

4.使用同样的命,更改加密类型生成keytab文件进行测试,生成的keytab可以正常的kinit

代码语言:javascript
复制
ktutil
addent -password -p cloudera-scm/admin -k 1 -e aes256-cts
wkt cloudera.keyrab
kinit -kt cloudera.keytab cloudera-scm/admin

通过该操作,进一步的确认了是加密类型导致的问题。

3.异常解决

在启用KDC的向导界面,将加密类型修改为” aes256-cts”,再次进行导入问题解决

4.总结

1.安全环境的CDP都是集成Kerberos服务,一般集群安装的Kerberos服务都是使用OS对应版本自带的安装包,在此次的安装环境中使用的krb5版本(1.15.1-46)相较于低版本的OS带的krb5版本要高一些,默认已不支持rc4-hmac加密类型。

2.在CDP中启用Kerberos,默认采用的加密类型为rc4-hmac,因此在高版本的kdc服务中需要考虑将加密类型修改为aes256-cts。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-06-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Hadoop实操 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
专用宿主机
专用宿主机(CVM Dedicated Host,CDH)提供用户独享的物理服务器资源,满足您资源独享、资源物理隔离、安全、合规需求。专用宿主机搭载了腾讯云虚拟化系统,购买之后,您可在其上灵活创建、管理多个自定义规格的云服务器实例,自主规划物理资源的使用。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档