web-dev-qa-db-ja.com

kinit:初期資格情報の取得中にクライアントの資格情報が取り消されました

ADを使用するKerberosで構成されたhdpクラスターがあります。すべてのHDPサービスアカウントには、sparkを含むプリンシパルとキータブが生成されます。

サービスアカウントにはパスワードがなく、有効期限が切れないように設定されていることを知っています。 kinit -kt spark.keytab -p spark-PRINCIPALを実行しているときに、次のエラーが発生します(タイトルを参照)。

MIT Webサイトで、ログイン試行の失敗やKDCのデフォルトポリシーで設定されたアカウントの有効期限が原因で発生します。アカウントはkadmin:modprinci spark/principalなどのkadminコマンドを使用してロック解除できますがAD管理者とクロスチェックしました。ADを使用する場合、kdcサーバーを使用してkadminコマンドを実行しないと彼は言いますが、ADUIを使用してチェックするとsparkアカウントはロック解除された状態です。

私の質問

ADでsparkアカウントのロックを解除するコマンドはありますか?

sparkサービスを削除し、クラスターに再インストールして、ADから取り消されたエラーを回避するために、新しいキータブまたはプリンシパルを再生成しました。sparkローカルアカウントがあるかどうかを確認しました)このエラーの原因です。

AD管理者から、LDAP検索および削除コマンドを実行するための制限付き特権を持つサーバーの詳細とパスワードが提供されました。これらの特権を使用してsparkのロックを解除できますか?そして、これを行う方法は?

3
kawad

問題:初期資格情報の取得中にkinitクライアントの資格情報が取り消されました

解決策は非常に簡単です。 ActiveDirectoryのWMIアカウントを確認してください。 WMIまたはWMI_queryアカウントはロックアウトされている必要があります。でこのエラーをトリガーします。

解決策:ActiveDirectoryでWMI_queryアカウントのロックを解除します。数回更新します。問題は解決された。ありがとうハミドバリ

1
Hamid Bhalli