我在这里试图debugging一个问题。
所以我需要通过Kerberos将这个Linux Box连接到AD域。
这里是我的krb5.conf:
[libdefaults] default_realm=OURDOMAIN.COM dns_lookup_realm=true dns_lookup_kdc=true ticket_lifetime=24h forwardable = true proxiable = true [realms] OURDOAMIN.COM = { kdc = VSH002.OURDOMAIN.COM:88 admin_server = VSH002.OURDOMAIN.COM:749 default_domain = OURDOMAIN.COM } [domain_realm] .ourdomain.com=OURDOMAIN.COM ourdomain.com=OURDOMAIN.COM 现在/ etc / hosts:
10.1.10.51 VSH002.OURDOMAIN.COM VSH002 vsh002
和resolv.conf:
domain ourdomain.com search ourdomain.com nameserver 10.1.10.51
命令kinit [email protected]工作得很好。
另外klist -ke显示正确的校长
kinit -V也连接成功。
问题:在Active Directory端使用kpass生成密钥表并尝试使用连接
kinit -k
我得到:
获取初始凭证时,无法parsing域中KDC的networking地址。
networking地址无法parsing? 这怎么可能?
有人帮忙?
谢谢,尤金
当使用kinit和keytab时,必须提供你想validation的principle 。 这可能是因为keytabs可以包含多个原则。
[root@dhcp2 ~]# kinit -k kinit(v5): Cannot resolve network address for KDC in realm while getting initial credentials [root@dhcp2 ~]# kinit -k host/dhcp2.domain.tld [root@dhcp2 ~]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: host/[email protected] Valid starting Expires Service principal 07/29/12 19:27:49 07/30/12 07:27:49 krbtgt/[email protected] renew until 07/30/12 19:27:49 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached
dns_lookup_kdc = true表示kinit将查找DNS中的SRVlogging。
您的DNS服务器中是否有服务器用于域/域控制器的SRVlogging?
_kerberos.VSH002.OURDOMAIN.COM为端口88
_ldap.VSH002.OURDOMAIN.COM端口389
http://web.mit.edu/kerberos/krb5-1.6/krb5-1.6.3/doc/krb5-admin.html