Kinit编辑不创建klist票证。

Question

几天来，我一直试图连接到Kerberos保护的HDFS服务器。

我已经在这里安装了Kerberos的窗口。它给我看了有效的/有效的票。

​

​

但是当我在提示下运行“Klist”时，我没有看到任何票。

​

​

如果我在提示符下运行Kinit，它会询问我的密码，并返回“身份验证给Kerberos v5”，但仍然没有显示任何klist票证。

​

​

如果我使用提示符或Kerberos创建了一个新的tickt，它将返回给我一个活动/有效的票证，但是klist仍然没有。

我试图使用KerberosClient连接到hdfs，但是当我连接时，它并不会“看到”我的活动标记(也是klist )，所以我被拒绝了连接。

我已经将KRB5_CONFIG和KRB5CCNAME系统变量设置到上面公开的文件夹中。

我做错了什么？

Answer 1

您的系统有两个Kerberos库(MIT KfW和Windows )和两个不同的klist工具：

1. klist.exe，它只显示将由"Windows本机“SSPI应用程序使用的Windows LSA内存票证缓存；

。

applications.

1. (麻省理工学院Kerberos klist.exe )，它显示基于文件的$KRB5CCNAME票据缓存，该缓存将被麻省理工学院"gssapi32.dll“基于GSSAPI的klist.exe使用。

1. (有时也是Java klist.exe！)

如果您的HDFS客户端使用$KRB5CCNAME (例如，如果它通过gssapi32.dll使用GSSAPI )，那么您需要具体地运行麻省理工学院KfW klist.exe。使用where.exe kinit查找它的位置，然后通过完整路径运行它。

另一方面，如果您的HDFS客户端使用SSPI，那么MIT KfW对您帮助不大--它可以访问"MSLSA:“缓存中的票，但据我所知，它不能在那里放置新的票。(可以轻松地让SSPI获得非AD服务的门票，但这是一个不同的主题。)