問題タブ [kerberos-delegation]

スーパー ユーザー資格情報でログに記録されていても、hadoop 管理 UI でログ ファイルを表示できません。

以下の詳細をご覧ください: スーパー ユーザー資格情報を使用してネイティブ Hadoop UI を開くと、UI ページがはっきりと表示されますが、同じスーパー ユーザー資格情報ではネイティブ UI ページのログ ページを表示できません。

ログページを表示するために使用したリンクを見つけてください: https:///mylapn:50470/logs/

ネイティブ UI から得られるエラーは、

/logs/ へのアクセスに問題があります。理由: ユーザー john は、このページにアクセスする権限がありません。

ログページを表示する方法と、構成を設定するために必要なものを提案してください。添付の画像を見つけてください。

ありがとう、マテス。ここに画像の説明を入力

Windows Server 2012 (IIS 8.5) で実行されているイントラネット .NET 4.5.1 Web アプリケーションにアクセスする Firefox 38.2.1 (または IE 11) から SQL Server 2008 R2 へのダブルホップの制約付き委任を実装するシステムを使用しています。別のサーバー。委任シナリオは機能しています。ユーザーの AD 資格情報は、Web サーバーとは別のサーバー上のデータベースに渡されます。DC は Windows Server 2008 R2 で、SPN を使用しています。

ただし、Kerberos が失敗する Firefox 構成設定の欠落などのシナリオがあります。認証プロトコルは NTLM にダウングレードされます。委任は、Kerberos 認証プロトコルが復活するまでの期間、機能しなくなります (5 分と言う情報源もありますが、テストでは 10 ～ 12 分ほどかかります)。さらに、失敗した委任は、プロトコルのダウングレードが有効になってから Kerberos が自動的に復元されるまで、アプリケーションにアクセスするすべてのユーザーに影響します。つまり、セッションは NTLM を使用し、データベースへのアクセスが 10 ～ 12 分間ブロックされます。

コード (c#)/IIS/Firefox/IE、または別の方法を使用して、認証プロトコルを Kerberos に手動で復元し、NTLM が使用されているプロトコルであるウィンドウを短縮する方法はありますか?

Hadoop でスパーク ストリーミング ジョブを実行しています。マシンは kerberized されており、42 時間正常に実行されましたが、HDFS トークン委任の有効期限が切れたために失敗しました。

8時間ごとに実行されるkinitコマンド用にcrontabをセットアップし、10時間のMax-renewライフタイムトークンを持っています。

エラーが原因で失敗しました: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): トークン (HDFS_DELEGATION_TOKEN トークン)

また、開始中にコマンドラインで原則を使用してジョブを実行しています。

Windowsサーバー2012 r2でKerberos認証を使用してActive Directoryをセットアップし、2台目のマシンでmongodbサーバーを設定しました。GSSAPI 認証で mongodb を開始しました。次の URL を使用して mongodb に接続しようとすると、

mongo.exe --host Mongo32Test.ihubtest.com.com --authenticationMechanism=GSSAPI --authenticationDatabase=$external -u mongoService@ihubtest.com --verbose

次のメッセージが表示されます。

エラー: SASL(-1): 一般的なエラー: SSPI: InitializeSecurityContext: 指定されたターゲットが不明または到達不能です

Wireshark をインストールしましたが、パケットにこのメッセージが含まれています

「KRB5 167 KRB エラー: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN」

周りを検索すると、サービス プリンシパル名
mongoService@ihubtest.com はドメイン ユーザーであり、mongodb の $external データベースの一部であることに関連していることがわかりました。

サービス プリンシパル名を確認しましたが、問題ないようです。

C:>setspn -l mongoService 登録された ServicePrincipalNames for CN=mongo Service,CN=Users,DC=ihubtest,DC=com:
mongodb/Mongo32test.ihubtest.com@IHUBTEST.COM

このページhttps://docs.mongodb.com/manual/tutorial/troubleshoot-kerberos/に記載されているトラブルシューティングの手順を試してみましたが、Active Directory の構成に何か不足していますか?

私自身と別の管理者は、新しいレポート サーバー (レポートは認証されたユーザーとして実行されますが、データ ソースに委任できず、'NT Authority\Anonymous' 認証エラーを返す) でのダブル ホップ認証の問題のトラブルシューティングを試みています。私たちは行き止まりにぶつかっているようです。ここで、セットアップについて少し説明します。

1 つのサーバーに SSRS 2016 がインストールされており、レポートのデータ ソースは別のサーバーにあります。認証を有効にするために、次の手順を実行しました。

1. レポート サーバーでグループ ポリシーを設定して、資格情報の委任を有効にする
2. レポート サーバー上の SSRS と MSSQLsrv で、両方のサービスを実行するサービス アカウントに対して正しい SPN が設定されていることを確認します。
   • http/NetBIOS:80 ドメイン\サービス名
   • http/FQDN.contoso.com:80 ドメイン\サービス名
   • mssqlsvc/FQDN.contoso.com:1433 ドメイン\サービス名
3. サービス アカウントで Kerberos 委任を有効にし、「アカウントは機密であり、委任できない」ことを確認します。ボックスはチェックされていません
4. RSWindowsNegotiate/RSReportServer.config ファイルでタグを < > に切り替えました
5. サービスを再開しました

レポート サーバー上のデータ ソースに接続しようとすると、エラーが引き続き発生し、ブラウザー経由で Web ページに接続する際にも問題が発生します。奇妙なことに、コマンドを実行するユーザーの下でセキュリティを実行するようにレポート サーバーにリンク サーバーを設定しようとしましたが、リンク サーバーでダブル ホップを正常に実行できましたが、SSRS からは成功しませんでした。

データソースはサービス アカウントで実行する必要がありますか、それとも SQL のローカル サービス アカウントで実行できますか? サービス アカウントには、サーバーが存在する OU への委任された権利が必要ですか? 他に不足している可能性のあるアイテムは何ですか?