我有一台Samba 4 AD,第二台作为客户端。 经过两天的良好运作, kinit突然停止在客户端工作。 原因很神秘。 它无法parsing服务器的名称。 它从SRV获取logging名称bolbro.barbucha.local ,但是不能parsing它的IP。
$ KRB5_TRACE=/dev/stdout kinit test [4841] 1389479680.105645: Getting initial credentials for [email protected] [4841] 1389479680.106009: Sending request (172 bytes) to BARBUCHA.LOCAL [4841] 1389479680.115312: Resolving hostname bolbro.barbucha.local. [4841] 1389479690.122000: Resolving hostname bolbro.barbucha.local. kinit: Cannot contact any KDC for realm 'BARBUCHA.LOCAL' while getting initial credentials
但是,如果我更改/etc/krb5.conf文件的内容而不更改服务器端上的任何内容:
[libdefaults] default_realm = BARBUCHA.LOCAL dns_lookup_realm = false dns_lookup_kdc = true
至:
[libdefaults] default_realm = BARBUCHA.LOCAL forwardable = true proxiable = true dns_lookup_kdc = true [realms] BARBUCHA.LOCAL = { kdc = bolbro.barbucha.local }
然后它工作 – IP地址已解决。 外行人对这个奇迹惊叹,专家很惊讶。 它怎么可能,它正确地解决了名字?
$ KRB5_TRACE=/dev/stdout kinit test [4881] 1389479960.11821: Getting initial credentials for [email protected] [4881] 1389479960.12298: Sending request (172 bytes) to BARBUCHA.LOCAL [4881] 1389479960.12412: Resolving hostname bolbro.barbucha.local [4881] 1389479960.12828: Sending initial UDP request to dgram 10.0.0.3:88 [4881] 1389479960.17680: Received answer from dgram 10.0.0.3:88 [4881] 1389479960.25280: Response was not from master KDC [4881] 1389479960.25313: Received error from KDC: -1765328359/Additional pre-authentication required [4881] 1389479960.25358: Processing preauth types: 16, 15, 2, 11, 19 [4881] 1389479960.25370: Selected etype info: etype rc4-hmac, salt "", params "" Password for [email protected]:
另外: tcpdump对我说,SRVlogging被parsing到IP地址10.0.0.3,但是kinit没有使用它。
我的东西,有一个地方的错误,但我无法知道,如果在服务器端或客户端。 我不知道,如果这是一个DNS或Kerberos的问题。 我一直在Google上search。 有很多原因,但是这种情况是更多错误状态的特殊组合。
然而,弄清楚这一点真是太糟糕了。 任何build议我都会感激。