Kerberos kinit crontab定时任务不生效的问题解决

问题

有这样一个定时任务

1 */12 * * * kinit -kt xxxxxx.keytab principle

这样写每天 12点，执行一次。

但是服务器的应用程序报错:

GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 

分析

klist 却发现keytab过期。

手动执行 kinit -kt xxxxxx.keytab 【principle】 却没有问题，有效期得到延长。

查阅kinit手册却发现：

-c 这个参数，是指定cache file name的。
如果不指定，则读取环境变量：KRB5CCNAME 这个变量，如果变量还是不存在，则会使用缺省值：

/tmp/krb5cc_%uid

结论

那么结论来了，正确的写法应该是

kinit -kt xxxxxx.keytab -c FILE:/path/to/krb5cache/%uid/krb5cc_%uid 【pinciple】

所以根本不是crontab的问题。

思考

此问题通常发生在有多个用户，使用不同的keytab进行认证的情况。

那么还有一种思路，我们可以 将KRB5CCNAME 写入 当前用户的/home/%user/.bashrc 中，并且在crontab表达式前面增加:

source ~/.bashrc && kinit -kt xxxxxx.keytab【pinciple】