我目前正遇到来自WAS 8.5.5.5上的keytab的Kerberos票据过期问题。 同样的过程在Tomcat 8上正常工作,我相信主要区别是JDK / JAAS客户端configuration。 我运行两个香草configuration(没有服务器configuration,除了内存/堆大小)。
以下是在Websphere上运行时的日志文件示例 –
2015-12-01 19:49:42,393 WARN [UserGroupInformation] PriviledgedActionException as:principal/fqdn@place (auth:KERBEROS) cause:javax.security.sasl.SaslException: Failure to initialize security context [Caused by org.ietf.jgss.GSSException, major code: 8, minor code: 0 major string: Credential expired minor string: Kerberos credential has expired] 在WAS中使用自定义的JAASconfiguration,而不必编写代码来规避IBM JDK的行为不同? 我看到一个尝试重新login,但似乎没有处理过期(就像在Oracle JDK上那样)。
2015-12-01 20:06:30,718 INFO [UserGroupInformation] Initiating logout for principal/fqdn@place 2015-12-01 20:06:30,718 DEBUG [UserGroupInformation] hadoop logout 2015-12-01 20:06:30,718 INFO [UserGroupInformation] Initiating re-login for artimapp/qa01-ost-tesla-h-ds02.td.local 2015-12-01 20:06:30,731 DEBUG [UserGroupInformation] hadoop login 2015-12-01 20:06:30,731 DEBUG [UserGroupInformation] hadoop login commit 2015-12-01 20:06:30,731 DEBUG [UserGroupInformation] using existing subject:[principal/fqdn@place, principal/fqdn@place]
任何帮助,将不胜感激。
我遇到了这个链接 – https://issues.apache.org/jira/browse/HADOOP-9969 。
在Spring Security中,我也遇到了类似的票据,在这个票据中,一个自定义的Kerberos客户端已经被写入IBM来镜像SunJaasKerberosTicketValidator – https://jira.spring.io/browse/SES-15 。
我的首选是避免等待Hadoop JIRA的解决,并且不得不编写自定义客户端来让Websphere正常工作。