bilhete kerberos não renovável


1

Eu segui todas as configurações recomendadas do MIT kerberos. Eu criei um principal e quando eu faço kadmin.local getprinc vejo o seguinte

kadmin.local:  getprinc centos@HADOOP.PSM
Principal: centos@HADOOP.PSM
Expiration date: [never]
Last password change: Sun Mar 13 07:55:56 UTC 2016
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 10 days 00:00:00
Last modified: Sun Mar 13 07:55:56 UTC 2016 (root/admin@HADOOP.PSM)
Last successful authentication: [never]
Last failed authentication: [never]

Quando eu faço um kinite klist, em seguida , vejo o seguinte (que está errado porque não vejo uma renew until mm:dd:yydata na resposta

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: centos@HADOOP.PSM

Valid starting       Expires              Service principal
03/13/2016 07:56:21  03/14/2016 07:56:19  krbtgt/HADOOP.PSM@HADOOP.PSM

Quando uma solicitação de renovação é feita, vejo isso nos registros

TGS_REQ (1 etypes {23}) 10.0.0.10: TICKET NOT RENEWABLE: authtime 0,  centos@HADOOP.PSM for krbtgt/HADOOP.PSM@HADOOP.PSM, KDC can't fulfill requested option

Respostas:


1

Descobriu-se que o Service Principal tinha uma duração máxima de renovação de 0 dias. Talvez eu tenha criado isso antes de fazer as alterações do conf ..!

Então esse é o culpado krbtgt/HADOOP.PSM@HADOOP.PSM

Quando eu modifiquei o diretor de serviço como abaixo, funcionou ..!

modprinc -maxlife 1days -maxrenewlife 7days +allow_renewable krbtgt/HADOOP.PSM@HADOOP.PSM 

Obrigado por isso! Algo mudou em meu próprio domínio, onde meus ingressos expiraram após as 24h. Eu suponho que eles devem ter sido renovados antes. Eu não tinha modificado nenhum dos meus diretores, então espere que seja devido a um upgrade. Modificando meu principal krbtgt / REALM @ REALM como você mostrou, deu certo!
JFlo
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.