Kerberos kinit crontab定时任务不生效的问题解决

问题

有这样一个定时任务

1 */12 * * * kinit -kt xxxxxx.keytab principle

这样写每天 12点,执行一次。

但是服务器的应用程序报错:

GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 

分析

klist 却发现keytab过期。

手动执行 kinit -kt xxxxxx.keytab 【principle】 却没有问题,有效期得到延长。

查阅kinit手册却发现:

-c 这个参数,是指定cache file name的。
如果不指定,则读取环境变量:KRB5CCNAME 这个变量,如果变量还是不存在,则会使用缺省值:

/tmp/krb5cc_%uid

结论

那么结论来了,正确的写法应该是

kinit -kt xxxxxx.keytab -c FILE:/path/to/krb5cache/%uid/krb5cc_%uid 【pinciple】

所以根本不是crontab的问题。

思考

此问题通常发生在有多个用户,使用不同的keytab进行认证的情况。

那么还有一种思路,我们可以 将KRB5CCNAME 写入 当前用户的/home/%user/.bashrc 中,并且在crontab表达式前面增加:

source ~/.bashrc && kinit -kt xxxxxx.keytab【pinciple】
posted @   一杯半盏  阅读(2221)  评论(2编辑  收藏  举报
编辑推荐:
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
阅读排行:
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)
点击右上角即可分享
微信分享提示