Megosztás a következőn keresztül:

Hitelesítési problémák az Azure HDInsightban

  • Cikk

Ez a cikk az Azure HDInsight-fürtök használatakor felmerülő problémák hibaelhárítási lépéseit és lehetséges megoldásait ismerteti.

Az Azure Data Lake (Gen1 vagy Gen2) által támogatott biztonságos fürtöken, amikor a tartományi felhasználók HDI-átjárón keresztül jelentkeznek be a fürtszolgáltatásokba (például bejelentkeznek az Apache Ambari portálra), a HDI Gateway először megpróbál OAuth-jogkivonatot beszerezni a Microsoft Entra-tól, majd kerberos jegyet kérni a Microsoft Entra Domain Servicestől. A hitelesítés mindkét szakaszban meghiúsulhat. Ez a cikk néhány ilyen probléma hibakeresését célozza.

Ha a hitelesítés sikertelen, a rendszer kéri a hitelesítő adatok megadását. Ha megszakítja ezt a párbeszédpanelt, a hibaüzenet megjelenik. Íme néhány gyakori hibaüzenet:

invalid_grant vagy unauthorized_client, 50126

Probléma

A bejelentkezés meghiúsul az összevont felhasználók esetében az 50126-os hibakóddal (a bejelentkezés sikeres a felhőfelhasználók számára). A hibaüzenet a következőhöz hasonló:

Reason: Bad Request, Detailed Response: {"error":"invalid_grant","error_description":"AADSTS70002: Error validating credentials. AADSTS50126: Invalid username or password\r\nTrace ID: 09cc9b95-4354-46b7-91f1-efd92665ae00\r\n Correlation ID: 4209bedf-f195-4486-b486-95a15b70fbe4\r\nTimestamp: 2019-01-28 17:49:58Z","error_codes":[70002,50126], "timestamp":"2019-01-28 17:49:58Z","trace_id":"09cc9b95-4354-46b7-91f1-efd92665ae00","correlation_id":"4209bedf-f195-4486-b486-95a15b70fbe4"}

Ok

A Microsoft Entra 50126-os hibakódja azt jelenti, hogy a AllowCloudPasswordValidation házirendet nem a bérlő állította be.

Resolution (Osztás)

A Microsoft Entra-bérlő globális Rendszergazda istratorának engedélyeznie kell a Microsoft Entra ID számára, hogy jelszókivonatokat használjon az ADFS által támogatott felhasználók számára. Alkalmazza az AllowCloudPasswordValidationPolicy Enterprise Security Package használata a HDInsightban című cikkben látható módon.

invalid_grant vagy unauthorized_client, 50034

Probléma

A bejelentkezés az 50034-ös hibakóddal meghiúsul. A hibaüzenet a következőhöz hasonló:

{"error":"invalid_grant","error_description":"AADSTS50034: The user account Microsoft.AzureAD.Telemetry.Diagnostics.PII doesn't exist in the 0c349e3f-1ac3-4610-8599-9db831cbaf62 directory. To sign into this application, the account must be added to the directory.\r\nTrace ID: bbb819b2-4c6f-4745-854d-0b72006d6800\r\nCorrelation ID: b009c737-ee52-43b2-83fd-706061a72b41\r\nTimestamp: 2019-04-29 15:52:16Z", "error_codes":[50034],"timestamp":"2019-04-29 15:52:16Z","trace_id":"bbb819b2-4c6f-4745-854d-0b72006d6800", "correlation_id":"b009c737-ee52-43b2-83fd-706061a72b41"}

Ok

A felhasználónév helytelen (nem létezik). A felhasználó nem ugyanazt a felhasználónevet használja, mint amelyet az Azure Portalon használ.

Resolution (Osztás)

Használja ugyanazt a felhasználónevet, amely az adott portálon működik.

invalid_grant vagy unauthorized_client, 50053

Probléma

A felhasználói fiók zárolva van, hibakód: 50053. A hibaüzenet a következőhöz hasonló:

{"error":"unauthorized_client","error_description":"AADSTS50053: You've tried to sign in too many times with an incorrect user ID or password.\r\nTrace ID: 844ac5d8-8160-4dee-90ce-6d8c9443d400\r\nCorrelation ID: 23fe8867-0e8f-4e56-8764-0cdc7c61c325\r\nTimestamp: 2019-06-06 09:47:23Z","error_codes":[50053],"timestamp":"2019-06-06 09:47:23Z","trace_id":"844ac5d8-8160-4dee-90ce-6d8c9443d400","correlation_id":"23fe8867-0e8f-4e56-8764-0cdc7c61c325"}

Ok

Túl sok bejelentkezési kísérlet helytelen jelszóval.

Resolution (Osztás)

Várjon 30 percet, és állítsa le az esetlegesen hitelesítésre próbáló alkalmazásokat.

invalid_grant vagy unauthorized_client, 50053 (#2)

Probléma

A jelszó lejárt, hibakód: 50053. A hibaüzenet a következőhöz hasonló:

{"error":"user_password_expired","error_description":"AADSTS50055: Password is expired.\r\nTrace ID: 241a7a47-e59f-42d8-9263-fbb7c1d51e00\r\nCorrelation ID: c7fe4a42-67e4-4acd-9fb6-f4fb6db76d6a\r\nTimestamp: 2019-06-06 17:29:37Z","error_codes":[50055],"timestamp":"2019-06-06 17:29:37Z","trace_id":"241a7a47-e59f-42d8-9263-fbb7c1d51e00","correlation_id":"c7fe4a42-67e4-4acd-9fb6-f4fb6db76d6a","suberror":"user_password_expired","password_change_url":"https://portal.microsoftonline.com/ChangePassword.aspx"}

Ok

A jelszó lejárt.

Resolution (Osztás)

Módosítsa a jelszót az Azure Portalon (a helyszíni rendszeren), majd várjon 30 percet, amíg a szinkronizálás felzárkózik.

interaction_required

Probléma

Hibaüzenet fogadása interaction_required.

Ok

A rendszer szerint feltételes hozzáférési szabályzat vagy MFA vonatkozik a felhasználóra. Mivel az interaktív hitelesítés még nem támogatott, a felhasználót vagy a fürtöt fel kell venni az MFA/Feltételes hozzáférés alól. Ha úgy dönt, hogy mentesíti a fürtöt (IP-címalapú kivételi szabályzat), győződjön meg arról, hogy az AD ServiceEndpoints engedélyezve van az adott virtuális hálózaton.

Resolution (Osztás)

Használjon feltételes hozzáférési szabályzatot, és mentesítse a HDInsight-fürtöket az MFA alól a Microsoft Entra Domain Services használatával a HDInsight-fürt nagyvállalati biztonsági csomaggal való konfigurálása című témakörben leírtak szerint.

Bejelentkezés megtagadva

Probléma

A bejelentkezés megtagadva.

Ok

A szakasz eléréséhez az OAuth-hitelesítés nem jelent problémát, de a Kerberos-hitelesítés az. Ha ezt a fürtöt az ADLS is alátámasztja, az OAuth-bejelentkezés sikeres volt, mielőtt a Kerberos hitelesítést megkísérlik. WASB-fürtökön az OAuth-bejelentkezést nem kísérli meg a rendszer. A Kerberos-hiba számos oka lehet– például a jelszókivonatok nem szinkronizálódnak, a felhasználói fiók ki van zárva a Microsoft Entra Domain Services szolgáltatásban stb. A jelszókivonatok csak akkor szinkronizálódnak, ha a felhasználó módosítja a jelszót. A Microsoft Entra Domain Services-példány létrehozásakor a rendszer elkezdi szinkronizálni a létrehozás után módosított jelszavakat. Nem tudja visszamenőlegesen szinkronizálni a kezdetek előtt beállított jelszavakat.

Resolution (Osztás)

Ha úgy gondolja, hogy a jelszavak nem szinkronizálódnak, próbálja meg módosítani a jelszót, és várjon néhány percet a szinkronizálásra.

Próbáljon meg SSH-t létrehozni egy olyan gépre, amelyet ugyanazzal a felhasználói hitelesítő adatokkal kell hitelesítenie (kinit) a tartományhoz csatlakoztatott gépről. SSH a fej/él csomópontba egy helyi felhasználóval, majd futtassa a kinitet.

kinit meghiúsul

Probléma

Kinit sikertelen.

Ok

Változik.

Resolution (Osztás)

Ahhoz, hogy a kinit sikeres legyen, ismernie kell az Ön nevét sAMAccountName (ez a rövid fióknév a tartomány nélkül). sAMAccountName általában a fiók előtagja (például Bob in bob@contoso.com). Egyes felhasználók esetében ez más lehet. Ahhoz, hogy megismerje a könyvtárat, meg kell keresnie/ meg kell keresnie a könyvtárat sAMAccountName.

A keresés sAMAccountNamemódjai:

  • Ha a helyi Ambari-rendszergazda használatával tud bejelentkezni az Ambariba, tekintse meg a felhasználók listáját.

  • Ha tartományhoz csatlakoztatott windowsos géppel rendelkezik, a szokásos Windows AD-eszközökkel tallózhat. Ehhez a tartományban működő fiókra van szükség.

  • A fő csomóponton a SAMBA-parancsokkal kereshet. Ehhez érvényes Kerberos-munkamenetre (sikeres kinit) van szükség. net ads search "(userPrincipalName=bob*)"

    A keresési/böngészési eredményeknek meg kell jelenítenie az sAMAccountName attribútumot. Emellett megvizsgálhat más attribútumokat is, például pwdLastSet, badPasswordTimestb. annak megtekintéséhez, userPrincipalName hogy ezek a tulajdonságok megfelelnek-e a vártnak.

a kinit az előhitelesítési hibával meghiúsul

Probléma

A Kinit hiba miatt Preauthentication meghiúsul.

Ok

Helytelen felhasználónév vagy jelszó.

Resolution (Osztás)

Ellenőrizze a felhasználónevet és a jelszót. Ellenőrizze a leírt egyéb tulajdonságokat is. A részletes hibakeresés engedélyezéséhez futtassa export KRB5_TRACE=/tmp/krb.log a munkamenetből a kinit kipróbálása előtt.

A Feladat/HDFS parancs a TokenNotFoundException miatt meghiúsul

Probléma

A feladat/HDFS parancs a hiba miatt TokenNotFoundExceptionmeghiúsul.

Ok

A feladat/parancs sikeres végrehajtásához nem található a szükséges OAuth hozzáférési jogkivonat. Az ADLS/ABFS-illesztő megpróbálja lekérni az OAuth hozzáférési jogkivonatot a hitelesítő szolgáltatásból a tárolási kérések végrehajtása előtt. Ez a jogkivonat akkor lesz regisztrálva, amikor ugyanazzal a felhasználóval jelentkezik be az Ambari portálra.

Resolution (Osztás)

Győződjön meg arról, hogy sikeresen bejelentkezett az Ambari portálra egyszer azon a felhasználónévn keresztül, amelynek identitását a feladat futtatásához használja.

Hiba a hozzáférési jogkivonat beolvasása közben

Probléma

A felhasználó hibaüzenetet Error fetching access tokenkap.

Ok

Ez a hiba időnként előfordul, amikor a felhasználók ACL-ek használatával próbálják elérni az ADLS Gen2-t, és a Kerberos-jogkivonat lejárt.

Resolution (Osztás)

  • Az Azure Data Lake Storage Gen1 esetében törölje a böngésző gyorsítótárát, és jelentkezzen be újra az Ambariba.

  • Az Azure Data Lake Storage Gen2 esetében futtassa /usr/lib/hdinsight-common/scripts/RegisterKerbTicketAndOAuth.sh <upn> azt a felhasználót, akinél a felhasználó bejelentkezni próbál

Következő lépések

Ha nem látja a problémát, vagy nem tudja megoldani a problémát, további támogatásért látogasson el az alábbi csatornák egyikére:

  • Azure-szakértőktől kaphat választ az Azure közösségi támogatásán keresztül.

  • Csatlakozás @AzureSupport – a hivatalos Microsoft Azure-fiók az ügyfélélmény javításához. Csatlakozás az Azure-közösséget a megfelelő erőforrásokhoz: válaszokhoz, támogatáshoz és szakértőkhöz.

  • Ha további segítségre van szüksége, támogatási kérelmet küldhet az Azure Portalról. Válassza a Támogatás lehetőséget a menüsávon, vagy nyissa meg a Súgó + támogatási központot. Részletesebb információkért tekintse át a Azure-támogatás kérések létrehozását ismertető cikket. Az előfizetés-kezeléssel és számlázással kapcsolatos támogatás a Microsoft Azure-előfizetés részét képezi, míg a technikai támogatást Azure-támogatási csomagjainkkal biztosítjuk.