kadmin 不能创建原理，但 kadmin.local 可以

Question

我正在 Cloudera 5 beta 上启用安全模式。使用 cloudera manager 并在从 here cloudera manager 执行第 8 步安全启用文档后，应该触发 Generate Credential 命令，但它不是。

所以我正在做的是手动运行生成凭据，但它给了我错误的日志，即。

KADMIN='kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN'
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'addprinc -randkey hue/cdh4hdm@IMP.CO.IN'
WARNING: no policy specified for hue/cdh4hdm@IMP.CO.IN; defaulting to no policy
add_principal: Operation requires ``add'' privilege while creating "hue/cdh4hdm@IMP.CO.IN".
+ kadmin -k -t /etc/cloudera-scm-server/cmf.keytab -p cloudera-scm/admin@IMP.CO.IN -r IMP.CO.IN -q 'xst -k /tmp/cmf4198733808580266866.keytab hue/cdh4hdm@IMP.CO.IN'
kadmin: Operation requires ``change-password'' privilege while changing hue/cdh4hdm@IMP.CO.IN's key
+ chmod 600 /tmp/cmf4198733808580266866.keytab
chmod: cannot access `/tmp/cmf4198733808580266866.keytab': No such file or directory

好像kadmin不能创建原则。

我的问题是我怎样才能给 kadmin 添加原则权限，或者我怎样才能使用 kadmin.local 运行这个命令？

有什么办法可以让我摆脱这个问题...

Answer 1

需要一些配置来提供用户主体以使用 kadmin 创建任何原则。

必须编辑 kadm5.acl 文件并在kadm5.acl 文件中添加以下条目：

*/admin@EXAMPLE.COM 

这里 * 代表通配符，因此与 kadm5.acl 中提供的字符串匹配的用户主体将能够创建任何主体，例如：

root/admin@EXAMPLE.COM

更改配置后，需要重新启动 Kerberos 才能使更改生效。更多详情请参考this

Answer 2

我遇到了同样的问题，通过启动kadmind 服务得到了解决。