1
kerberosとADで構成されたhdpクラスタがあります。すべてのHDPサービスアカウントには、スパークを含むプリンシパルとキータブが生成されます。kinit:初期資格情報の取得中にクライアントの資格情報が取り消されました
私は、サービスアカウントはパスワードを持っておらず、無期限に設定されていることを知っています。 現在、kinit -kt spark.keytab -p spark-PRINCIPALの作業中に次のエラーが表示されます(タイトルを参照)。
多くの失敗したログイン試行や、KDC.accountのデフォルトポリシーで設定されたアカウントの有効期限がkadmin:modprinci spark/principalなどのkadminコマンドを使用してロックを解除できますが、AD管理者とクロスチェックしました。彼は、私たちがADを使用しているところでは、AD UIを使ってチェックされたときにsparkアカウントがロック解除された状態であるとkadminコマンドを実行するためにkdcサーバーを使用しないと言います。
私の質問:
ADに火花アカウントのロックを解除するために任意のコマンドがありますか?
私はsparkサービスを削除するのに疲れて、新しいキータブまたはプリンシパルを再生成してADからの取り消しエラーを回避するためにクラスタに再インストールしました。このエラーの原因となるスパークローカルアカウントがあれば見てください。
AD管理者は、LDAPの検索と削除のコマンドを実行するための限定された権限を持つサーバーの詳細とパスワードを指定しています。これらの特権を使ってsparkのロックを解除することはできますか?そしてこれを行う方法?
私は、AD付きのケルベロスで構成されたHDPクラスタを持っています。すべてのHDPサービスアカウントには、スパークを含むプリンシパルとキータブが生成されます。 サービスアカウントにはパスワードがなく、期限切れに設定されていません。 kinit -kt spark.keytab -p spark-PRINCIPALを実行しているときに、次のエラーが表示されます。 "kinit:初期資格情報の取得中にクライアントの資格情報が取り消されました。" – kawad
* "サービスアカウントにはパスワードがありません" * - はい、** **はパスワードです。 * keytab *は、そのパスワードのハッシュバージョンを含むファイルに過ぎません。元のパスワードがハッシュされて忘れられた後に、それを見つける方法がないことだけです。 –