【大数据安全-Kerberos】Kerberos常见问题及解决方案_gss initiate failed(4)

最新推荐文章于 2025-04-27 00:15:00 发布
最新推荐文章于 2025-04-27 00:15:00 发布
阅读量1.1k 收藏 21
点赞数 29
CC 4.0 BY-SA版权
分类专栏: 程序员 文章标签: 大数据 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82243318/article/details/138880386

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

此消息表明一个操作尝试要求以 Kerberos 的 user/host@realm 身份认证的操作,但票据 cache 中没有用于 user/host@realm 的票据。

  • 用户环境引用的策略/票证缓存文件丢失、不可读(权限)、损坏或无效
  • 票证续签寿命设置为零
  • 票证授予票证(TGT)不存在,因为服务A需要将命令作为服务B运行,但尚未正确配置为允许模拟服务B
  • 票证更新尚未执行/未成功。这可能是由于CDH 5.3之前的HBASE或CDH5.2之前的Hive / Sentry缺陷引起的
  • 该用户的凭据尚未在KDC中生成
  • 执行了手动步骤,例如hadoop fs -ls,但是用户从未通过Kerberos身份验证
  • Oracle JDK 6 Update 26或更早版本无法读取由MIT Kerberos 1.8.1或更高版本创建的Kerberos凭证高速缓存。
  • 某些版本的Oracle JDK 8可能会遇到此问题
  • 配置useTicketCache=false,如果配置为true在新版本中可能不支持,就会出现每次票据更新的时间点产生GSS的问题

javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Fail to create credential. (63) - No service creds)]

  • 由JDK缺陷引起
  • 票证消息对于UDP协议而言太大
  • 主机未正确映射到Kerberos领域

GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - UNKNOWN_SERVER)

hostname或要访问的URL与keytab中列出的主机之间发生主机名不匹配。造成这种情况的原因多种多样,包括但不限于:

  • 多网卡(NIC)服务器,以使来自主机的数据包的IP地址与通过主机解析返回的IP不匹配
  • 负载平衡器和后续的主机名解析问题
  • DNS和主机名解析问题/不一致
  • 反向DNS(必需)主机名解析问题/不一致
  • 在krb5.conf中主机正在映射到参数[domain_realm]的错误域,这或者是通过其他的krb5.conf配置,或者是通过KDC配置。默认参数情况下,除非使用[domain_realm]等进行显式配置,否则主机名(例如:“ crash.EXAMPLE.com ”)将映射到域“ EXAMPLE.com ” 。请参见MIT Kerberos文档:[domain_realm]
  • 如果尝试在Cloudera Manager中执行“ Generate Credentials ”步骤(在更高版本中重命名为“ Generate Missing Credentials ”)时发生此错误,则可能是由于导入到Cloudera Manager数据库中的管理员帐户详细信息不再与主机匹配,例如Cloudera Manager服务器的主机名在上一次导入后随后更改了。

javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Receive timed out)]

网络连接问题,可能是由于使用UDP与KDC通信引起的

GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)

  • 令牌中的主机名必须是可解析的,并且与主机身份验证匹配
  • 请参阅知识文章,Error: “HTTP Status 401” when Accessing the Oozie WebUI
  • JDK8版本u51之前的缺陷

GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level / (Mechanism level: Request is a replay (34)]

  • KDC会在短时间内看到来自同一Principal名称的多个身份验证请求,并拒绝该请求以防止“中间人”攻击
  • 如果在多个主机/服务上使用了相同的Principal/key,或者由于主机之间的时钟变化,可能会发生这种情况
最低0.47元/天 解锁文章

200万优质内容无限畅学
【kafka】GSS initiate failed credentials provided This may be caused by Java AUTHENTICATION_FAILED
九师兄
08-05 1314
zookeeper默认使用 zookeeper 作为服务名称,如果你想改变它,那么可以使用。-Dzookeeper.sasl.client.username=zk 来指定它。今天操作一个kerberos认证的环境,然后运行kafka消费者的时候报错。但是流任务启动报错,构建kafka配置的时候如下。然后重新配置后,就不报错这个了,但是又报错。然后验证kafka控制台也是正常的。首先kafka验证是正常的。后来在源码中找到解决方案。...
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 3万+
1.概述 转载 为了学习Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
大数据安全-KerberosKerberos常见问题解决方案
weixin_53543905的博客
04-04 1万+
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
【kafka】kerberos Server not found in Kerberos database LOOKING_UP_SERVER Identifier doesn‘t match
九师兄
01-09 3821
【kafka】kerberos认证下 kafka 报错Bootstrap broker host:ip (id: -1 rack: null) disconnected,然后我想在本地消费试试。
【Kafka】华为kafka认证报错 Server not found in Kerberos database (7) - LOOKING_UP_SERVER
九师兄
09-27 2359
最近要进行华为的环境认证,然后我他们说要他们的包,我是有2个服务,一个是web服务,一个是FLink任务,因为web的好替换我,直接替换成他们的包。我把他们的包放到maven中如下 然后我在flink中引入了相关的包如下,但是我们的flink版本比较高是,flink 1.11 他们提供的包是1.7.2 flink版本我们没有替换,然后取运行,运行报错 详细错误信息如下 根据文档:华为kafka认证报错 Server not found in Kerberos database (7) - LOOKING_
【java】No valid credentials provided (Mechanism level: Failed to find any Kerberos Ticket)
九师兄
08-05 3169
也是一个很常见的问题,有可能也是连接信息没写全,需要几个site.xml文件,如果这些都有了还不行,可能是因为keytab里包含多个不同的principal,可以在代码加上。
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed
2401_84573531的博客
05-15 1413
请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。从Cloudera Manager中,导航到 管理>安全性 ,然后单击 导入Kerberos帐户管理器凭据以将管理凭据重新导入到Cloudera Manager中。确保主机名解析为与KDC和其他服务通信的服务的IP。查看:错误:访问Oozie WebUI时出现“ HTTP状态401”
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(2)
2301_82243318的博客
05-15 1311
从Cloudera Manager中,导航到 管理>安全性 ,然后单击 导入Kerberos帐户管理器凭据以将管理凭据重新导入到Cloudera Manager中。确保主机名解析为与KDC和其他服务通信的服务的IP。查看:错误:访问Oozie WebUI时出现“ HTTP状态401”至少升级到JDK8的51更新请参阅。
大数据安全-KerberosKerberos常见问题解决方案_gss initiate failed(3)
2301_82243318的博客
05-15 1670
尝试使用请求的KDC中存在的keytab中的Principal名称来kinit,但该keytab是从其他KDC生成的。尝试在使用Kerberos的群集(例如throughBDR)之间复制数据时,这两个群集都使用相同的领域名称,但使用不同的KDC如果正向和反向DNS解析不一致,则会发生这种情况。请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。
华为认证-- sun.security.krb5.KrbException: Server not found in Kerberos database (7)
我是传奇
09-26 2万+
一、问题描述 在用华为安全模式接入kafka时,一直提示错误: javax.security.sasl.SaslException: An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: N...
聊聊 kerberos 的 kinit 命令和 ccache 机制
明哥的IT随笔
03-11 4825
1. 前言 家好,最近遇到了个 kerberos 相关问题,“客户端节点上执行 kinit -R 命令报错:KDC can’t fulfill requested option while renewing credentials”, 在次跟家分享下问题的解决方式,和背后的相关知识点,主要涉及到 kerberos 的 kinit 命令和 ccache 机制。 2. 问题现象与问题日志 问题现象: 客户端执行命令 kinit -R 报错: “KDC can’t fulfill requested opt
【kafka】No valid credentials provided Mechanism level: Clock skew too great AUTHENTICATION_FAILED
最新发布
九师兄
04-27 158
具体的详情报错如下这个错误表明在 Kafka 客户端应用程序中存在身份验证问题。错误涉及到 Java Security API 和 Simple Authentication and Security Layer (SASL) 机制,具体提到了一个 GSSException,其消息为 “No valid credentials provided” 和 “Clock skew too great”。:在身份验证过程中 SASL 机制遇到错误时抛出的异常。
CDH集成了Kerberos后写入数据到HBase遇到的几个问题
zhangs_123的博客
04-01 3709
目录环境和场景问题一:Zookeeper认证错误解决方法问题二:HBase权限错误解决方法 环境和场景 环境:CDH6.3.1+Kerberos 场景:数据经Flink处理后写入到Hbase 问题一:Zookeeper认证错误 报错内容:Flink Task Managers日志 2022-03-14 15:02:25,599 INFO org.apache.zookeeper.ClientCnxn [] - Session establishme
kerberos集群安装配置(十)
forever19870418的博客
03-31 2972
Kerberos集群规划 Kerberos安装配置 一、安装KDC server 二、修改配置文件 1)/etc/krb5.conf 2)/var/kerberos/krb5kdc/kdc.conf 3)/var/kerberos/krb5kdc/kadm5.acl 三、同步/etc/krb5.conf到其他服务器 四、创建数据库 五、启动服务 六、创建Kerber
rh333 - kinit(v5): Password incorrect while getting initial credentials
t0nsha's Blog
04-06 1万+
1. version[root@station20 ~]# cat /proc/version Linux version 2.6.18-308.el5xen (mockbuild@x86-010.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jan 27 17:59:00 EST
Linux上C++通过LDAP协议使用kerberos认证AES加密连接到AD服务器
weixin_46711630的博客
11-13 1068
Linux上C++通过LDAP协议使用kerberos认证AES加密连接到AD服务器,以及配置文件的修改,环境的支持。
java kerberos hbase_java-如何续订HBase中即将到期的Kerberos票证?
weixin_39721924的博客
03-04 545
我有一个小的spring服务,它提供基本功能,例如从hbase表中进行put / delete / get.一切似乎都正常,但是有一个问题.启动tomcat服务器10小时后,我的kerberos票证到期了,因此我应该对其进行续订.我试图将Java api用于hbase,并且在每种方法的代码中都使用它,它连接到hbase,我添加了以下代码:UserGroupInformation.getLoginU...
kerberos GSS initiate failed认证失败的原因及解决方案
炼数成器
12-29 4821
这就导致同一任务可能会并发执行kinit操作,而 kerberos Ticket Cache文件存储在/tmp目录下,文件名为krb5cc_{uid},其中uid为用户标识号。因为同一OS用户下的多个脚本共享相同的uid,由于并发kinit操作,不同的认证可能会覆盖同一个uid下的Ticket Cache文件,导致Kerberos认证信息串掉。环境变量为每个Kerberos用户指定独立的Ticket Cache文件,解决并发执行脚本时Ticket Cache文件被覆盖的问题。通过在Shell脚本中设置。
keyberos认证问题导致GSS initiate failed
热门推荐
weixin_37933207的博客
11-15 3万+
背景:实施过程中需要./XX.sh 用来提交到大数据平台yarn上进行分析场景的任务提示了下列报错。 javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any K...
Could not open client transport for any of the Server URI's in ZooKeeper: GSS initiate failed
05-13
这个错误通常是由于Kerberos认证失败引起的。Kerberos是一种网络认证协议,它需要客户端和服务器之间的时间同步以及正确的Kerberos配置。你可以尝试以下步骤解决问题: 1. 检查Kerberos的配置是否正确,确保客户端和服务器都使用相同的Kerberos配置。 2. 确保客户端和服务器之间的时间同步。你可以使用ntpdate命令同步时间。 3. 尝试重启ZooKeeper服务和Kerberos客户端。 4. 检查ZooKeeper日志文件中是否有其他错误信息,以便进一步调试。 如果以上步骤无法解决问题,你可以在ZooKeeper配置文件中禁用Kerberos认证,然后重新启动ZooKeeper服务。但是,这样做会降低系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值