kinit -p“用户名”的工作原理 – 设置Kerberos领域没有问题。
然而,我无法从GUIlogin。
客户端身份validation日志:
pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm> gkr-pam: error looking up user information 服务器krb5kdc.log:
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional pre-authentication required Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for krbtgt/<realm>@<realm>
换句话说,Kerberos服务器向客户端发出票据没有问题,但是来自GUI的login不起作用。 任何想法都非常感激!
客户端和服务器都在运行Debian 7.6.0 x86_64。
要看的关键是:
gkr-pam: error looking up user information
成功的身份validation并不一定意味着PAM将授予访问权限。 用户必须被操作系统识别,并且还必须通过记帐检查(PAM堆栈中的account模块)。
上面的错误表明用户或者不存在于系统中(从控制台, getent passwd <username>和getent shadow <username>都工作?),或者你configuration的某个PAM模块难以获取信息关于来自远程源的用户。
把重点放在这个方向上,你应该能够确定和纠正这个问题。