GNU/Linux >> Linux の 問題 >  >> Linux

Kinit がドメイン サーバーに接続しない:初期資格情報の取得中にレルムが KDC に対してローカルではありません

解決策 1:

あなたのドメイン名は DS.DOMAIN.COM ですか または DOMAIN.COM だけ ?

レルムではそれらを一致させる必要があるため、DS.DOMAIN.COM がドメインであると仮定すると、次のように変更する必要があります:

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM


[domain_realm]
    .ds.domain.com = DS.DOMAIN.COM
    ds.domain.com = DS.DOMAIN.COM

ただし、ドメインが実際に DOMAIN.COM の場合 krb5.conf を次のように変更する必要があります:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
    DOMAIN.COM = {
        kdc = ds.domain.com:88
        #You can have more than one kds, just keep adding more kdc =
        #entries
        #kdc = dsN.domain.com:88
        #Uncomment if you have a krb admin server
        #admin_server = ds.domain.com:749
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

そして、あなたは kinit のように:kinit [email protected]

解決策 2:

ソースコードを見ると、ネゴシエーションプロセスが別のドメインへの紹介を受け取り、そのドメインが「ローカル」ではないか、krb5.conf構成にない場合にエラーがスローされるようです。 

00219     /*
00220      * If the backend returned a principal that is not in the local
00221      * realm, then we need to refer the client to that realm.
00222      */
00223     if (!is_local_principal(client.princ)) {
00224       /* Entry is a referral to another realm */
00225       status = "REFERRAL";
00226       errcode = KRB5KDC_ERR_WRONG_REALM;
00227       goto errout;
00228     }

それが何であるか、私はあなたに言うことができませんでした。これはおそらく、Active Directory 環境と、ツリーに複数のドメインがあるかどうかによって異なります。おそらくさらに domain_realm エイリアスが必要ですが、それが何であるかはここではわかりません.

解決策 3:

Zypher が提供するものと同じ krb5.conf を使用して、同じメッセージが表示されました:

[libdefaults]
   default = MYDOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true

[realms]
MYDOMAIN.COM = {
   kdc = mydc.mydomain.com:88
   admin_server = mydc.mydomain.com:749
   default_domain = mydomain.com
}

[domain_realm]
   .mydomain.com = MYDOMAIN.COM
   mydomain.com = MYDOMAIN.COM

(申し訳ありませんが、適切なフォーマットを取得できないようです:/ )

私の場合、MYDOMAIN.COM ではなく MYDOMAIN.LOCAL に kinit する必要がありました。これが一般的な AD の認証設定によるものなのか、AD ドメインの認証設定によるものなのかはわかりません。私のドメインには 2 つの DC があり、1 つは W2k3 R2 で、もう 1 つは W2k8 R2 (krb5.conf で mydc.mydomain.com として指定されているもの) です。 "メッセージ

解決策 4:

私はこれとまったく同じで、設定を修正した後も答えがとても簡単であることがわかりました。 linuxqustions.org の logicalfuzz に感謝します。

kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials

kinit -V [email protected]
Authenticated to Kerberos v5

ここでは大文字がすべての違いを生みます。これは例に示されていることは知っていますが、強調したいと思います.


Linux

  1. [修正済み]ホストはこのMySQLサーバーに接続できません

  2. Tmuxは.tmux.confを調達していませんか?

  3. ローカルサーバーに接続する方法は?

  1. データベースに接続できません。ユーザーはデータベースに存在しますが、サーバーレベルには存在しません

  2. 認証のために Linux に Kerberos 5 KDC サーバーをインストールする方法

  3. 「初期資格情報の取得中に事前認証に失敗しました」 – Kerberos エラー

  1. ドメイン登録されていないLinuxボックスからSQuirreL SQLを使用してSQL Serverに接続する方法は?

  2. エラー:「ソケット '/var/run/mysqld/mysqld.sock' (2) を介してローカル MySQL サーバーに接続できません」 -- /var/run/mysqld/mysqld.sock がありません

  3. WSL - GEDIT サーバーを初期化できません:接続できませんでした:接続が拒否されました