Я схожу с ума, пытаясь отладить проблему.
Поэтому мне нужно подключить этот Linux Box к домену AD через Kerberos.
вот мой krb5.conf:
[libdefaults]
default_realm=OURDOMAIN.COM
dns_lookup_realm=true
dns_lookup_kdc=true
ticket_lifetime=24h
forwardable = true
proxiable = true
[realms]
OURDOAMIN.COM = {
kdc = VSH002.OURDOMAIN.COM:88
admin_server = VSH002.OURDOMAIN.COM:749
default_domain = OURDOMAIN.COM
}
[domain_realm]
.ourdomain.com=OURDOMAIN.COM
ourdomain.com=OURDOMAIN.COM
Теперь / etc / hosts:
10.1.10.51 VSH002.OURDOMAIN.COM VSH002 vsh002
И resolv.conf:
domain ourdomain.com
search ourdomain.com
nameserver 10.1.10.51
Команда kinit user@OURDOMAIN.COM работает нормально.
Также klist -ke показывает правильный принципал
kinit -V также успешно подключается.
Эта проблема: После того, как я сгенерирую keytab с помощью kpass на стороне Active Directory и попытаюсь подключиться, используя
kinit -k
Я получил:
Не удается разрешить сетевой адрес для KDC в области при получении начальных учетных данных.
Сетевой адрес не может быть решен? Как такое возможно?
Кому-нибудь помочь?
Спасибо, Юджин.
Когда используешь kinit с помощью keytab необходимо предоставить principle вы хотите пройти аутентификацию как. Вероятно, это потому, что вкладки могут содержать более одного принципа.
[root@dhcp2 ~]# kinit -k
kinit(v5): Cannot resolve network address for KDC in realm while getting initial credentials
[root@dhcp2 ~]# kinit -k host/dhcp2.domain.tld
[root@dhcp2 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: host/dhcp2.domain.tld@DOMAIN.TLD
Valid starting Expires Service principal
07/29/12 19:27:49 07/30/12 07:27:49 krbtgt/DOMAIN.TLD@DOMAIN.TLD
renew until 07/30/12 19:27:49
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
dns_lookup_kdc = true означает, что kinit будет искать записи SRV в DNS.
У вас есть записи SRV на DNS-сервере, который ваш сервер использует для домена / контроллера домена?
_kerberos.VSH002.OURDOMAIN.COM для порта 88
_ldap.VSH002.OURDOMAIN.COM для порта 389
http://web.mit.edu/kerberos/krb5-1.6/krb5-1.6.3/doc/krb5-admin.html