Linux

Kinit 不會連接到域伺服器:獲取初始憑據時域不是 KDC 本地的

  • May 4, 2021

我正在設置一個測試平台環境,Linux (Ubuntu 10.04) 客戶端將對 Windows Server 2008 R2 域伺服器進行身份驗證。

我正在按照官方 Ubuntu 指南在此處設置 Kerberos 客戶端:httpskinit ://help.ubuntu.com/community/Samba/Kerberos,但是在執行連接到域伺服器的命令時遇到了問題。

我正在執行的命令是:kinit Administrator@DS.DOMAIN.COM. 此命令返回以下錯誤:

Realm not local to KDC while getting initial credentials. 不幸的是,我無法通過Google搜尋找到任何其他經歷過這個確切錯誤的人,所以我不知道這意味著什麼。

客戶端能夠 ping 伺服器的主機名,因此 DNS 伺服器指向域伺服器。

下面是我的 krb5.conf 文件:

[libdefaults]
default = DS.DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc true

[realms]
   DS.DOMAIN.COM = {
       kdc = ds.domain.com:88
       admin_server = ds.domain.com
       default_domain = domain.com
   }

[domain_realm]
   .domain.com = DS.DOMAIN.COM
   domain.com = DS.DOMAIN.COM

我該如何糾正這些錯誤?我將非常感謝我能得到的所有幫助!

是你的域名DS.DOMAIN.COM還是只是DOMAIN.COM

在您的領域中,您需要讓它們匹配,因此假設 DS.DOMAIN.COM 是您需要更改的域:

[domain_realm]
   .domain.com = DS.DOMAIN.COM
   domain.com = DS.DOMAIN.COM

[domain_realm]
   .ds.domain.com = DS.DOMAIN.COM
   ds.domain.com = DS.DOMAIN.COM

但是,如果您的域確實是DOMAIN.COM您需要將 krb5.conf 更改為如下所示:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
   DOMAIN.COM = {
       kdc = ds.domain.com:88
       #You can have more than one kds, just keep adding more kdc =
       #entries
       #kdc = dsN.domain.com:88
       #Uncomment if you have a krb admin server
       #admin_server = ds.domain.com:749
       default_domain = domain.com
   }

[domain_realm]
   .domain.com = DOMAIN.COM
   domain.com = DOMAIN.COM

然後你會kinit想要這樣:kinit Administrator@DOMAIN.COM

引用自:https://serverfault.com/questions/166768