场景回顾 #

你在Linux系统中用crontab调度包含Impala、Hive命令的shell脚本，手动执行脚本完全正常，但通过crontab定时执行时失败。你的crontab配置是：

* * * * * sh /path/example.sh

报错提示：

Error : valid kerberos ticket but no valid kerberos ticket found.

针对你提出的三个问题，我来逐一解答：

核心原因先理清楚 #

手动执行脚本时，你是在交互式登录shell环境下，这个环境已经加载了你之前通过kinit获取的Kerberos票据，所以Impala、Hive能顺利完成认证。但crontab运行的是无登录、非交互式shell，它不会继承你当前会话的Kerberos票据缓存，甚至连很多必要的环境变量（比如KRB5CCNAME）都没有，这就是报错的根本原因。

1. keytab对用户是否必需？

这得看你的集群Kerberos认证策略，但对crontab这类无人值守的非交互式任务来说，keytab几乎是刚需：

• 交互式会话里，你可以手动输入密码通过kinit获取票据，但crontab是自动运行的，没法人工输入密码。keytab是存储了用户加密密钥的凭证文件，能让脚本自动完成Kerberos认证，不需要人工干预。
• 如果是关闭了Kerberos的测试环境，keytab不是必需；但生产环境基本都会开启Kerberos，此时keytab就是非交互式任务的必备项。

2. 是否需要在脚本中加入keytab？

必须加，你得在脚本开头添加用keytab获取Kerberos票据的步骤，示例如下：

# 若Kerberos配置文件不在默认路径，手动指定
export KRB5_CONFIG=/etc/krb5.conf

# 用keytab获取票据，有效期可按需调整（比如10小时）
kinit -kt /path/to/your/user.keytab your_principal@YOUR_REALM.COM

执行完Impala/Hive命令后，也可以销毁票据（可选，更安全）：

kdestroy

另外要注意：脚本里要写Impala/Hive命令的完整路径，因为crontab的PATH环境变量比交互式shell窄很多，比如用/usr/bin/impala-shell而非直接写impala-shell。

3. 无keytab能否通过crontab调度该任务？

几乎不可能，除非你的集群完全关闭了Kerberos认证：
如果集群开启了Kerberos，没有keytab的话，crontab的非交互式环境根本无法自动获取有效票据——总不能让定时任务运行时弹出窗口要求输入密码吧？
倒是有个极端的不可靠方案：让crontab继承某个长期有效的票据缓存，但票据会过期，且缓存文件的权限、路径在crontab环境下不一定能正常访问，一旦票据过期任务就会失败，生产环境绝对不推荐这种方式。

额外小贴士 #

• 给keytab文件设置严格权限：比如chmod 600 /path/to/your/user.keytab，仅允许执行脚本的用户读取，避免安全风险。
• 把crontab的输出重定向到日志文件，方便排查问题：

* * * * * sh /path/example.sh >> /path/example.log 2>&1

内容的提问来源于stack exchange，提问作者N9909