Kerberos kinit crontab定时任务不生效的问题解决
问题
有这样一个定时任务
1 */12 * * * kinit -kt xxxxxx.keytab principle
这样写每天 12点,执行一次。
但是服务器的应用程序报错:
GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]
分析
klist 却发现keytab过期。
手动执行 kinit -kt xxxxxx.keytab 【principle】 却没有问题,有效期得到延长。
查阅kinit手册却发现:
-c 这个参数,是指定cache file name的。
如果不指定,则读取环境变量:KRB5CCNAME 这个变量,如果变量还是不存在,则会使用缺省值:
/tmp/krb5cc_%uid
结论
那么结论来了,正确的写法应该是
kinit -kt xxxxxx.keytab -c FILE:/path/to/krb5cache/%uid/krb5cc_%uid 【pinciple】
所以根本不是crontab的问题。
思考
此问题通常发生在有多个用户,使用不同的keytab进行认证的情况。
那么还有一种思路,我们可以 将KRB5CCNAME 写入 当前用户的/home/%user/.bashrc 中,并且在crontab表达式前面增加(source环境变量后执行):
source ~/.bashrc && kinit -kt xxxxxx.keytab【pinciple】
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY