У меня машина с Samba 4 AD и вторая в качестве клиента. После двух дней хорошей работы внезапно kinit перестал работать на стороне клиента. Причина довольно загадочная. Не удается разрешить имя сервера. Получает от SRV-записи название bolbro.barbucha.local, но затем не может разрешить свой IP-адрес.
$ KRB5_TRACE=/dev/stdout kinit test
[4841] 1389479680.105645: Getting initial credentials for test@BARBUCHA.LOCAL
[4841] 1389479680.106009: Sending request (172 bytes) to BARBUCHA.LOCAL
[4841] 1389479680.115312: Resolving hostname bolbro.barbucha.local.
[4841] 1389479690.122000: Resolving hostname bolbro.barbucha.local.
kinit: Cannot contact any KDC for realm 'BARBUCHA.LOCAL' while getting initial credentials
Но если я изменю содержание /etc/krb5.conf файл без изменения чего-либо на стороне сервера из:
[libdefaults]
default_realm = BARBUCHA.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
кому:
[libdefaults]
default_realm = BARBUCHA.LOCAL
forwardable = true
proxiable = true
dns_lookup_kdc = true
[realms]
BARBUCHA.LOCAL = {
kdc = bolbro.barbucha.local
}
... тогда работает - IP-адрес разрешен. Обыватель удивляется этому чуду, эксперт удивляется. Как вообще возможно, что он правильно разрешил имя?
$ KRB5_TRACE=/dev/stdout kinit test
[4881] 1389479960.11821: Getting initial credentials for test@BARBUCHA.LOCAL
[4881] 1389479960.12298: Sending request (172 bytes) to BARBUCHA.LOCAL
[4881] 1389479960.12412: Resolving hostname bolbro.barbucha.local
[4881] 1389479960.12828: Sending initial UDP request to dgram 10.0.0.3:88
[4881] 1389479960.17680: Received answer from dgram 10.0.0.3:88
[4881] 1389479960.25280: Response was not from master KDC
[4881] 1389479960.25313: Received error from KDC: -1765328359/Additional pre-authentication required
[4881] 1389479960.25358: Processing preauth types: 16, 15, 2, 11, 19
[4881] 1389479960.25370: Selected etype info: etype rc4-hmac, salt "", params ""
Password for test@BARBUCHA.LOCAL:
Дополнительно: tcpdump сказал мне, что запись SRV разрешена до IP-адреса 10.0.0.3, но kinit не использовал это.
Я думаю, где-то есть ошибка, но я не могу узнать, на стороне сервера или на стороне клиента. Я тоже не знаю, дело в DNS или Kerberos. Давно гуглил. Причин много, но эта ситуация представляет собой особую комбинацию большего количества состояний ошибки.
Однако понять это было бы ужасно. Буду признателен за любое предложение.