3 votos

RHEL 5,8 Kerberos Active Directory Windows 2003 Server SP2

Me estoy volviendo loco tratando de depurar un problema.

Así que tengo que conectar este Cuadro de Linux a un Dominio AD, a través de Kerberos.

aquí está mi krb5.conf:

[libdefaults]
   default_realm=OURDOMAIN.COM
   dns_lookup_realm=true
   dns_lookup_kdc=true
   ticket_lifetime=24h
   forwardable = true
   proxiable = true

[realms]
   OURDOAMIN.COM = {
       kdc = VSH002.OURDOMAIN.COM:88
       admin_server = VSH002.OURDOMAIN.COM:749
       default_domain = OURDOMAIN.COM
   }   

[domain_realm]
   .ourdomain.com=OURDOMAIN.COM
   ourdomain.com=OURDOMAIN.COM

Ahora /etc/hosts:

 10.1.10.51 VSH002.OURDOMAIN.COM VSH002 vsh002

Y resolv.conf:

domain ourdomain.com
search ourdomain.com
nameserver 10.1.10.51

El Comando kinit user@OURDOMAIN.COM funciona igual de bien.

También klist -ke muestra la correcta principal

kinit -V también se conecta con éxito.

El Problema: Después de generar la clave con kpass en el lado de Active Directory y trate de conectarse con

 kinit -k

Obtengo:

No se puede resolver la dirección de red para KDC en el reino, mientras que llegar inicial de credenciales.

Red Dirección no puede ser resuelto? ¿Cómo es eso posible?

La ayuda de alguien?

Gracias, Eugene.

2voto

84104 Puntos 6069

Cuando se utiliza kinit con una tabla de claves que en necesario para proporcionar la principle desea autenticarse como. Esto es probablemente porque keytabs puede contener más de un principio.

[root@dhcp2 ~]# kinit -k
kinit(v5): Cannot resolve network address for KDC in realm  while getting initial credentials
[root@dhcp2 ~]# kinit -k  host/dhcp2.domain.tld
[root@dhcp2 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: host/dhcp2.domain.tld@DOMAIN.TLD

Valid starting     Expires            Service principal
07/29/12 19:27:49  07/30/12 07:27:49  krbtgt/DOMAIN.TLD@DOMAIN.TLD
        renew until 07/30/12 19:27:49


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

0voto

Greg Askew Puntos 17236

dns_lookup_kdc = true significa que kinit será buscar los registros SRV en DNS.

¿Tienes los registros SRV en el servidor DNS que el servidor está utilizando el controlador de dominio o dominio?

_kerberos. VSH002. OURDOMAIN.COM para el puerto 88
_ldap. VSH002. OURDOMAIN.COM para el puerto 389

http://Web.MIT.edu/Kerberos/krb5-1.6/krb5-1.6.3/doc/krb5-admin.html

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: