Hitelesítési problémák az Azure HDInsightban
Ez a cikk az Azure HDInsight-fürtök használatakor felmerülő problémák hibaelhárítási lépéseit és lehetséges megoldásait ismerteti.
Az Azure Data Lake Gen2 által támogatott biztonságos fürtök esetében, amikor a tartományi felhasználók HDI-átjárón keresztül jelentkeznek be a fürtszolgáltatásokba (például az Apache Ambari portálra való bejelentkezéshez), a HDI Gateway először megpróbál OAuth-jogkivonatot beszerezni a Microsoft Entra-tól, majd kerberos jegyet kérni a Microsoft Entra Domain Servicestől. A hitelesítés mindkét szakaszban meghiúsulhat. Ez a cikk néhány ilyen probléma hibakeresését célozza.
Ha a hitelesítés sikertelen, a rendszer hitelesítő adatokat kér. Ha megszakítja ezt a párbeszédpanelt, a hibaüzenet megjelenik. Íme néhány gyakori hibaüzenet:
invalid_grant vagy unauthorized_client, 50126
Probléma
A bejelentkezés meghiúsul az összevont felhasználók esetében az 50126-os hibakóddal (a bejelentkezés sikeres a felhőfelhasználók számára). A hibaüzenet a következőhöz hasonló:
Reason: Bad Request, Detailed Response: {"error":"invalid_grant","error_description":"AADSTS70002: Error validating credentials. AADSTS50126: Invalid username or password\r\nTrace ID: 09cc9b95-4354-46b7-91f1-efd92665ae00\r\n Correlation ID: 4209bedf-f195-4486-b486-95a15b70fbe4\r\nTimestamp: 2019-01-28 17:49:58Z","error_codes":[70002,50126], "timestamp":"2019-01-28 17:49:58Z","trace_id":"09cc9b95-4354-46b7-91f1-efd92665ae00","correlation_id":"4209bedf-f195-4486-b486-95a15b70fbe4"}
Ok
A Microsoft Entra 50126-os hibakódja azt jelenti, hogy a AllowCloudPasswordValidation házirendet nem a bérlő állította be.
Resolution (Osztás)
A Microsoft Entra-bérlő rendszergazdájának engedélyeznie kell a Microsoft Entra-azonosítót, hogy jelszókivonatokat használjon az ADFS által támogatott felhasználók számára. Alkalmazza az AllowCloudPasswordValidationPolicy Enterprise Security Package használata a HDInsightban című cikkben látható módon.
invalid_grant vagy unauthorized_client, 50034
Probléma
A bejelentkezés az 50034-ös hibakóddal meghiúsul. A hibaüzenet a következőhöz hasonló:
{"error":"invalid_grant","error_description":"AADSTS50034: The user account Microsoft.AzureAD.Telemetry.Diagnostics.PII doesn't exist in the 0c349e3f-1ac3-4610-8599-9db831cbaf62 directory. To sign into this application, the account must be added to the directory.\r\nTrace ID: bbb819b2-4c6f-4745-854d-0b72006d6800\r\nCorrelation ID: b009c737-ee52-43b2-83fd-706061a72b41\r\nTimestamp: 2019-04-29 15:52:16Z", "error_codes":[50034],"timestamp":"2019-04-29 15:52:16Z","trace_id":"bbb819b2-4c6f-4745-854d-0b72006d6800", "correlation_id":"b009c737-ee52-43b2-83fd-706061a72b41"}
Ok
A felhasználónév helytelen (nem létezik). A felhasználó nem ugyanazt a felhasználónevet használja, mint amelyet az Azure Portalon használ.
Resolution (Osztás)
Használja ugyanazt a felhasználónevet, amely az adott portálon működik.
invalid_grant vagy unauthorized_client, 50053
Probléma
A felhasználói fiók zárolva van, hibakód: 50053. A hibaüzenet a következőhöz hasonló:
{"error":"unauthorized_client","error_description":"AADSTS50053: You've tried to sign in too many times with an incorrect user ID or password.\r\nTrace ID: 844ac5d8-8160-4dee-90ce-6d8c9443d400\r\nCorrelation ID: 23fe8867-0e8f-4e56-8764-0cdc7c61c325\r\nTimestamp: 2019-06-06 09:47:23Z","error_codes":[50053],"timestamp":"2019-06-06 09:47:23Z","trace_id":"844ac5d8-8160-4dee-90ce-6d8c9443d400","correlation_id":"23fe8867-0e8f-4e56-8764-0cdc7c61c325"}
Ok
Túl sok bejelentkezési kísérlet helytelen jelszóval.
Resolution (Osztás)
Várjon 30 percet, és állítsa le az esetlegesen hitelesítésre próbáló alkalmazásokat.
invalid_grant vagy unauthorized_client, 50053 (#2)
Probléma
A jelszó lejárt, hibakód: 50053. A hibaüzenet a következőhöz hasonló:
{"error":"user_password_expired","error_description":"AADSTS50055: Password is expired.\r\nTrace ID: 241a7a47-e59f-42d8-9263-fbb7c1d51e00\r\nCorrelation ID: c7fe4a42-67e4-4acd-9fb6-f4fb6db76d6a\r\nTimestamp: 2019-06-06 17:29:37Z","error_codes":[50055],"timestamp":"2019-06-06 17:29:37Z","trace_id":"241a7a47-e59f-42d8-9263-fbb7c1d51e00","correlation_id":"c7fe4a42-67e4-4acd-9fb6-f4fb6db76d6a","suberror":"user_password_expired","password_change_url":"https://portal.microsoftonline.com/ChangePassword.aspx"}
Ok
A jelszó lejárt.
Resolution (Osztás)
Módosítsa a jelszót az Azure Portalon (a helyszíni rendszeren), majd várjon 30 percet, amíg a szinkronizálás felzárkózik.
interaction_required
Probléma
Hibaüzenet fogadása interaction_required.
Ok
A rendszer szerint feltételes hozzáférési szabályzat vagy MFA vonatkozik a felhasználóra. Mivel az interaktív hitelesítés még nem támogatott, a felhasználót vagy a fürtöt fel kell venni az MFA/Feltételes hozzáférés alól. Ha úgy dönt, hogy mentesíti a fürtöt (IP-címalapú kivételi szabályzat), győződjön meg arról, hogy az AD ServiceEndpoints engedélyezve van az adott virtuális hálózaton.
Resolution (Osztás)
Használjon feltételes hozzáférési szabályzatot, és mentesítse a HDInsight-fürtöket az MFA alól a Microsoft Entra Domain Services használatával a HDInsight-fürt nagyvállalati biztonsági csomaggal való konfigurálása című témakörben leírtak szerint.
Bejelentkezés megtagadva
Probléma
A bejelentkezés megtagadva.
Ok
A szakasz eléréséhez az OAuth-hitelesítés nem jelent problémát, de a Kerberos-hitelesítés az. Ha ez a fürt az ADLS által támogatott, az OAuth-bejelentkezés sikeres volt, mielőtt a Kerberos hitelesítést megkísérlik. WASB-fürtöken az OAuth-bejelentkezést nem kísérli meg a rendszer. A Kerberos-hiba számos oka lehet– például a jelszókivonatok nem szinkronizálódnak, a felhasználói fiók ki van zárva a Microsoft Entra Domain Services szolgáltatásban stb. A jelszókivonatok csak akkor szinkronizálódnak, ha a felhasználó módosítja a jelszót. A Microsoft Entra Domain Services-példány létrehozásakor a rendszer elkezdi szinkronizálni a létrehozás után módosított jelszavakat. Nem tudja visszamenőlegesen szinkronizálni a kezdetek előtt beállított jelszavakat.
Resolution (Osztás)
Ha úgy gondolja, hogy a jelszavak nem szinkronizálódnak, próbálja meg módosítani a jelszót, és várjon néhány percet a szinkronizálásra.
Próbáljon meg SSH-t létrehozni egy olyan gépre, amelyet ugyanazzal a felhasználói hitelesítő adatokkal kell hitelesítenie (kinit) a tartományhoz csatlakoztatott gépről. SSH a fej/él csomópontba egy helyi felhasználóval, majd futtassa a kinitet.
Kinit sikertelen
Probléma
Kinit sikertelen.
Ok
Változik.
Resolution (Osztás)
Ahhoz, hogy a kinit sikeres legyen, ismernie kell az Ön nevét sAMAccountName (ez a rövid fióknév a tartomány nélkül). sAMAccountName általában a fiók előtagja (például Bob in bob@contoso.com). Egyes felhasználók esetében ez más lehet. Ahhoz, hogy megismerje a könyvtárat, meg kell keresnie/ meg kell keresnie a könyvtárat sAMAccountName.
A keresés sAMAccountNamemódjai:
Ha a helyi Ambari-rendszergazda használatával tud bejelentkezni az Ambariba, tekintse meg a felhasználók listáját.
Ha tartományhoz csatlakoztatott windowsos géppel rendelkezik, a szokásos Windows AD-eszközökkel tallózhat. Ehhez a tartományban működő fiókra van szükség.
A fő csomóponton a SAMBA-parancsokkal kereshet. Ehhez érvényes Kerberos-munkamenetre (sikeres kinit) van szükség. net ads search "(userPrincipalName=bob*)"
A keresési/böngészési eredményeknek meg kell jelenítenie az
sAMAccountNameattribútumot. Emellett megvizsgálhat más attribútumokat is, példáulpwdLastSet,badPasswordTimestb. annak megtekintéséhez,userPrincipalNamehogy ezek a tulajdonságok megfelelnek-e a vártnak.
A kinit az előhitelesítési hibával meghiúsul
Probléma
A Kinit hiba miatt Preauthentication meghiúsul.
Ok
Helytelen felhasználónév vagy jelszó.
Resolution (Osztás)
Ellenőrizze a felhasználónevet és a jelszót. Ellenőrizze a leírt egyéb tulajdonságokat is. A részletes hibakeresés engedélyezéséhez futtassa export KRB5_TRACE=/tmp/krb.log a munkamenetből a kinit kipróbálása előtt.
A Feladat/HDFS parancs a TokenNotFoundException miatt meghiúsul
Probléma
A feladat/HDFS parancs a hiba miatt TokenNotFoundExceptionmeghiúsul.
Ok
A feladat/parancs sikeres végrehajtásához nem található a szükséges OAuth hozzáférési jogkivonat. Az ADLS/ABFS-illesztő megpróbálja lekérni az OAuth hozzáférési jogkivonatot a hitelesítő szolgáltatásból a tárolási kérések végrehajtása előtt. Ez a jogkivonat akkor lesz regisztrálva, amikor ugyanazzal a felhasználóval jelentkezik be az Ambari portálra.
Resolution (Osztás)
Győződjön meg arról, hogy sikeresen bejelentkezett az Ambari portálra egyszer azon a felhasználónévn keresztül, amelynek identitását a feladat futtatásához használja.
Hiba a hozzáférési jogkivonat beolvasása közben
Probléma
A felhasználó hibaüzenetet Error fetching access tokenkap.
Ok
Ez a hiba időnként előfordul, amikor a felhasználók ACL-ek használatával próbálják elérni az ADLS Gen2-t, és a Kerberos-jogkivonat lejárt.
Resolution (Osztás)
Az Azure Data Lake Storage Gen1 esetében törölje a böngésző gyorsítótárát, és jelentkezzen be újra az Ambariba.
Az Azure Data Lake Storage Gen2 esetében a run
/usr/lib/hdinsight-common/scripts/RegisterKerbTicketAndOAuth.sh <upn>felhasználó a következőként próbál bejelentkezni:
Következő lépések
Ha nem látja a problémát, vagy nem tudja megoldani a problémát, további támogatásért látogasson el az alábbi csatornák egyikére:
Azure-szakértőktől kaphat választ az Azure közösségi támogatásán keresztül.
Csatlakozzon a @AzureSupport - a hivatalos Microsoft Azure-fiókhoz az ügyfélélmény javításához. Az Azure-közösség csatlakoztatása a megfelelő erőforrásokhoz: válaszok, támogatás és szakértők.
Ha további segítségre van szüksége, támogatási kérelmet küldhet az Azure Portalról. Válassza a Támogatás lehetőséget a menüsávon, vagy nyissa meg a Súgó + támogatási központot. Részletesebb információkért tekintse át a Azure-támogatás kérések létrehozását ismertető cikket. Az előfizetés-kezeléssel és számlázással kapcsolatos támogatás a Microsoft Azure-előfizetés részét képezi, míg a technikai támogatást Azure-támogatási csomagjainkkal biztosítjuk.