bilet Kerberos nieodnawialny


1

Postępowałem zgodnie ze wszystkimi zalecanymi ustawieniami konfiguracji Kerberos MIT. Utworzyłem zlecenie, a kiedy zrobię kadmin.local getprinc, zobaczę następujące

kadmin.local:  getprinc centos@HADOOP.PSM
Principal: centos@HADOOP.PSM
Expiration date: [never]
Last password change: Sun Mar 13 07:55:56 UTC 2016
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 10 days 00:00:00
Last modified: Sun Mar 13 07:55:56 UTC 2016 (root/admin@HADOOP.PSM)
Last successful authentication: [never]
Last failed authentication: [never]

Kiedy robię a, kinita następnie klistwidzę następujące (co jest złe, ponieważ nie widzę renew until mm:dd:yydaty w odpowiedzi

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: centos@HADOOP.PSM

Valid starting       Expires              Service principal
03/13/2016 07:56:21  03/14/2016 07:56:19  krbtgt/HADOOP.PSM@HADOOP.PSM

Po wysłaniu żądania odnowienia widzę to w dziennikach

TGS_REQ (1 etypes {23}) 10.0.0.10: TICKET NOT RENEWABLE: authtime 0,  centos@HADOOP.PSM for krbtgt/HADOOP.PSM@HADOOP.PSM, KDC can't fulfill requested option

Odpowiedzi:


1

Okazało się, że zleceniodawca miał maksymalny okres odnowienia wynoszący 0 dni. Być może stworzyłem to przed wprowadzeniem zmian w conf ...!

To jest winowajca krbtgt/HADOOP.PSM@HADOOP.PSM

Po zmodyfikowaniu nazwy głównej usługi, jak poniżej, zadziałało ...!

modprinc -maxlife 1days -maxrenewlife 7days +allow_renewable krbtgt/HADOOP.PSM@HADOOP.PSM 

Dzięki za to! Coś się zmieniło w mojej własnej domenie, w której moje bilety wygasły po 24 godzinach. Zakładam, że musieli się już odnawiać. Nie zmodyfikowałem żadnego z moich zleceniodawców, więc spodziewaj się, że było to spowodowane aktualizacją. Modyfikacja mojej nazwy krbtgt / REALM @ REALM, jak pokazałeś, załatwiła sprawę!
JFlo
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.