kinit：在获取初始凭据时，客户端的凭据已被撤销

Question

我使用带有 AD 的 kerberos 配置了 hdp 集群。所有 HDP 服务帐户都有生成的主体和密钥表，包括 spark。

我知道服务帐户将没有密码并设置为过期。 现在在执行kinit -kt spark.keytab -p spark-PRINCIPAL 时出现以下错误（见标题）。

我在 MIT 网站上读到，这是由于许多不成功的登录尝试或在 KDC 中的默认策略中设置的帐户过期。可以使用 kadmin 命令解锁帐户，例如kadmin:modprinci spark/principal，但我已经与 AD 管理员进行了交叉检查。他说我们不使用 kdc 服务器来执行 kadmin 命令，而我们使用 AD 但说使用 AD UI 检查时 spark 帐户处于解锁状态。

我的问题：

AD中有解锁spark账号的指令吗？

我已经厌倦了删除 spark 服务并在我的集群中重新安装，它确实重新生成了新的 keytab 或主体以避免 AD 的撤销错误。查看是否有任何 spark 本地帐户导致此错误。

AD 管理员为我提供了服务器详细信息和密码，但具有有限权限来执行 ldap 搜索和删除命令。我可以使用这些权限来解锁 spark 吗？以及如何做到这一点？

Answer 1

问题： kinit 客户端凭据在获取初始凭据时已被吊销

解决方案非常简单。检查活动目录中的 WMI 帐户。 WMI 或 WMI_query 帐户必须已被锁定。这会触发此错误。

解决方案：解锁活动目录中的 WMI_query 帐户。刷新几次。问题解决了。 谢谢 哈米德·巴利

Answer 2

您呈现的错误：“kinit: Clients credentials has been revoke while getting initial credentials”表示与 keytab 相关的 Active Directory 帐户已被禁用、锁定、过期或删除。

默认情况下，无法在 AD 中解锁自己的帐户（除非他们是域管理员、域帐户操作员或其他具有管理权限的组的成员）。 AD 管理员需要授予您这些权限。根据问题描述，听起来完全有可能 AD 管理员正在查看错误的帐户。例如，如果您运行以下命令：

setspn -Q HTTP/somedomain.local

在这种情况下，“HTTP/somedomain.local”代表 SPN，输出将显示与 SPN 和 keytab 相关联的 AD 帐户的名称 - 您的 AD 管理员需要查看该帐户并确定其是否已被禁用、锁定、过期或删除，并采取纠正措施。

Answer 3

当您的用户密码已更改时，有时您可能会收到此错误。它发生在我身上，谷歌的第一个结果把我带到了这个页面，但上面的解决方案没有奏效。

解决方案：运行

kdestroy

紧随其后

kinit