Я пытаюсь подключить Kerio к экземпляру Open Directory. Я использую kinit для проверки настройки и получаю следующее:
$ kinit -V -S host/server.domain.co.uk@server.domain.co.uk igor@server.domain.co.uk
Please enter the password for igor@server.domain.co.uk:
Kerberos Login Failed: Cannot resolve network address for KDC in requested realm
Это происходит, хотя я на 100% уверен, что пароль правильный. В любом случае, меня больше беспокоит часть сообщения, в которой говорится
Kerberos Login Failed: Cannot resolve network address for KDC in requested realm
От сервера, на котором работает OD, и второго внутреннего сервера я получаю то же сообщение об ошибке. Я могу копать и пинговать server.domain.co.uk правильно с обоих серверов, поэтому я не понимаю, что может быть не так.
Мне нужно, чтобы это сработало, прежде чем я смогу двигаться дальше и подключить экземпляр Kerio к моему OD.
edu.mit.kerberos
[libdefaults]
default_realm = SERVER.domain.CO.UK
[realms]
SERVER.domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk
}
[domain_realm]
domain.co.uk = SERVER.domain.CO.UK
.domain.co.uk = SERVER.domain.CO.UK
[logging]
admin_server = FILE:/var/log/krb5kdc/kadmin.log
kdc = FILE:/var/log/krb5kdc/kdc.log
СЕРВЕР - это настоящее имя хоста для рассматриваемой машины, а domain.co.uk - это мое полное доменное имя или, по крайней мере, заменяет мое полное доменное имя.
Спасибо за любую помощь.
Принцип Kerberos - это имя пользователя @ область, а не имя пользователя @ домен, и область чувствительна к регистру, поэтому попробуйте использовать свой kinit для igor@SERVER.domain.CO.UK, используя заглавные буквы точно так же, как в вашей конфигурации.
Тонкое различие между сервером и областью заключается в том, почему вашу ошибку так сложно интерпретировать - она пытается сказать: «Я не знаю, какой будет адрес сервера для этого РЕАЛЬНОСТИ - я не могу сопоставить этот РЕАЛЬНОСТЬ ни с чем в conf файл ".
Похоже, ваши объявления REALM и KDC могут немного отличаться.
Я могу ошибаться, но я думаю вместо
[libdefaults]
default_realm = SERVER.domain.CO.UK
[царства]
SERVER.domain.CO.UK знак равно
admin_server = server.domain.co.uk
kdc = server.domain.co.uk}
Вы бы хотели поставить
[libdefaults]
default_realm = domain.CO.UK
[царства]
domain.CO.UK знак равно
admin_server = server.domain.co.uk
kdc = server.domain.co.uk}
добавьте это в krb5.ini:
dns_lookup_kdc = true
[libdefaults]
default_realm = domain.CO.UK
[realms]
domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk
}
Отвечая на старые вопросы:
Эта проблема IIRC оказалась комбинацией вещей
Как только мы обнаружили, что предлагаем услуги управления сетью всем, кто использует это пространство, и обнаружили, что они используют оптоволоконное соединение, все их маршрутизаторы подключены друг к другу по причинам «аварийного переключения».
Это был момент, который вызывал отдельные проблемы у каждой компании - пока мы не восстановили участок :)
Просто попал в такую же ситуацию на Debian GNU / Linux jessie. Резольвер внутри кинита просто не работал. strace показывает, что kinit запрашивает Avahi-daemon через lib-mdns. Удалил авахи и кинит заработал. Резюме - либо удалите avahi-daemon, либо настройте его правильно.