В моем кластере есть основной домен kerberos и AD с локальной авторизацией (auth_to_local = DEFAULT). На самом деле у меня есть kerberos, AD из среды разработки, и я хочу добавить AD из производственной среды. Следовательно, пользователи могут войти в систему со своей уникальной AD с помощью prod (логин windows)
Так что я изменил /etc/krb5.conf и добавил внутрь
[domain_realm]
.prod.com = PROD.COM
prod.com = PROD.COM
[realms]
PROD.COM = {
kdc = xxx.rod.com:88
auth_to_local = DEFAULT
}
Тогда я могу сделать kinit из продукта AD
После этого я добавил правило в core-site. xml для перевода этой области в "локальный" идентификатор было oop .security.auth_to_local добавить правило, подобное этому
RULE:[1:$1@$0](.*@PROD.COM)s/@.*//
Теперь, когда я получил билет от PROD.COM, у меня появляется эта ошибка
20/02/20 15:19:55 [main]: ERROR transport.TSaslTransport: SASL negotiation failure
javax.security.sasl.SaslException: сбой инициализации GSS
Я что-то пропустил?
привет