GNU/Linux >> Znalost Linux >  >> Linux

Kinit se nepřipojí k doménovému serveru:Sféra není místní pro KDC při získávání počátečních přihlašovacích údajů

Řešení 1:

Je název vaší domény DS.DOMAIN.COM nebo jen DOMAIN.COM ?

Ve svých sférách je musíte mít shodné, takže za předpokladu, že DS.DOMAIN.COM je vaše doména, musíte to změnit:

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM

do

[domain_realm]
    .ds.domain.com = DS.DOMAIN.COM
    ds.domain.com = DS.DOMAIN.COM

Pokud je však vaše doména skutečně DOMAIN.COM budete muset změnit svůj krb5.conf, aby vypadal takto:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
    DOMAIN.COM = {
        kdc = ds.domain.com:88
        #You can have more than one kds, just keep adding more kdc =
        #entries
        #kdc = dsN.domain.com:88
        #Uncomment if you have a krb admin server
        #admin_server = ds.domain.com:749
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

A pak byste kinit třeba takto:kinit [email protected]

Řešení 2:

Když se podíváte do zdrojového kódu, vypadá to, že tato chyba je vyvolána, když proces vyjednávání obdrží odkaz na jinou doménu a tato doména není „lokální“ nebo ve vaší konfiguraci krb5.conf. 

00219     /*
00220      * If the backend returned a principal that is not in the local
00221      * realm, then we need to refer the client to that realm.
00222      */
00223     if (!is_local_principal(client.princ)) {
00224       /* Entry is a referral to another realm */
00225       status = "REFERRAL";
00226       errcode = KRB5KDC_ERR_WRONG_REALM;
00227       goto errout;
00228     }

Co by to mohlo být, to jsem vám nedokázal říct. To pravděpodobně závisí na vašem prostředí Active Directory a na tom, zda je nebo není ve stromu více domén. Pravděpodobně potřebujete více aliasů domain_realm, ale přesně to, co to je, odtud nemůžeme zjistit.

Řešení 3:

Měl jsem stejnou zprávu pomocí stejného krb5.conf, který poskytuje Zypher:

[libdefaults]
   default = MYDOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true

[realms]
MYDOMAIN.COM = {
   kdc = mydc.mydomain.com:88
   admin_server = mydc.mydomain.com:749
   default_domain = mydomain.com
}

[domain_realm]
   .mydomain.com = MYDOMAIN.COM
   mydomain.com = MYDOMAIN.COM

(Omlouvám se, zdá se, že nemohu získat správné formátování :/ )

V mém případě jsem potřeboval kinit do MYDOMAIN.LOCAL spíše než MYDOMAIN.COM. Nejsem si jistý, zda je to způsobeno nastavením ověřování v AD obecně nebo jen pro mou AD doménu. Moje doména má 2 DC, jeden je W2k3 R2 a druhý (ten zadaný jako mydc.mydomain.com v krb5.conf) je W2k8 R2. Ale to je další možná příčina, že „Realm není místní pro KDC při získávání počátečních přihlašovacích údajů " zpráva

Řešení 4:

Měl jsem to samé a po opravě konfigurace jsem zjistil, že odpověď je tak jednoduchá. Díky logicalfuzz na linuxqustions.org.

kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials

kinit -V [email protected]
Authenticated to Kerberos v5

Hlavní města zde rozhodují. Vím, že je to ukázáno na příkladech, ale chtěl jsem to zdůraznit.


Linux

  1. Tmux nevyužívá .tmux.conf?

  2. Jak se připojit k místnímu serveru?

  3. Jak nainstalovat server Kerberos 5 KDC v systému Linux pro ověřování

  1. [Opraveno] Hostitel se nemůže připojit k tomuto serveru MySQL

  2. Nelze se připojit k databázi; Uživatel existuje v databázi, ale ne na úrovni serveru

  3. jak se připojit k serveru SQL pomocí SQuirreL SQL z krabice Linux bez registrace domény?

  1. Připojte se ke cloudovému serveru

  2. „Předběžná autentizace selhala při získávání počátečních přihlašovacích údajů“ – Chyba Kerberos

  3. chyba:'Nelze se připojit k místnímu serveru MySQL přes soket '/var/run/mysqld/mysqld.sock' (2)' -- Chybí /var/run/mysqld/mysqld.sock