Kinit no se conectará a un servidor de dominio:el dominio no es local para KDC al obtener las credenciales iniciales

Solución 1:

¿Tu nombre de dominio es DS.DOMAIN.COM? o simplemente DOMAIN.COM ?

En sus dominios, debe hacer que coincidan, por lo que, suponiendo que DS.DOMAIN.COM es su dominio, debe cambiar:

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM

a

[domain_realm]
    .ds.domain.com = DS.DOMAIN.COM
    ds.domain.com = DS.DOMAIN.COM

Sin embargo, si su dominio es realmente DOMAIN.COM necesitaría cambiar su krb5.conf para que se vea así:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
    DOMAIN.COM = {
        kdc = ds.domain.com:88
        #You can have more than one kds, just keep adding more kdc =
        #entries
        #kdc = dsN.domain.com:88
        #Uncomment if you have a krb admin server
        #admin_server = ds.domain.com:749
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

Y luego kinit así:kinit example@unixlinux.online

Solución 2:

En cuanto al código fuente, parece que se produce ese error cuando el proceso de negociación recibe una referencia a otro dominio y ese dominio no es 'local', o en su configuración krb5.conf.

00219     /*
00220      * If the backend returned a principal that is not in the local
00221      * realm, then we need to refer the client to that realm.
00222      */
00223     if (!is_local_principal(client.princ)) {
00224       /* Entry is a referral to another realm */
00225       status = "REFERRAL";
00226       errcode = KRB5KDC_ERR_WRONG_REALM;
00227       goto errout;
00228     }

Qué podría ser eso, no sabría decirte. Eso probablemente depende de su entorno de Active Directory y de si hay o no varios dominios en el árbol. Probablemente necesite más alias de domain_realm, pero no podemos decir exactamente qué es eso desde aquí.

Solución 3:

Recibí el mismo mensaje usando el mismo krb5.conf proporcionado por Zypher:

[libdefaults]
   default = MYDOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true

[realms]
MYDOMAIN.COM = {
   kdc = mydc.mydomain.com:88
   admin_server = mydc.mydomain.com:749
   default_domain = mydomain.com
}

[domain_realm]
   .mydomain.com = MYDOMAIN.COM
   mydomain.com = MYDOMAIN.COM

(Lo siento, parece que no puedo obtener el formato adecuado :/ )

En mi caso, necesitaba vincularme a MYDOMAIN.LOCAL en lugar de MYDOMAIN.COM. No estoy seguro si esto se debe a una configuración de autenticación en AD en general o solo para mi dominio AD. Mi dominio tiene 2 DC, uno es W2k3 R2 y el otro (el especificado como mydc.mydomain.com en krb5.conf) es W2k8 R2. Pero esta es otra posible causa de que el "Reino no sea local para KDC al obtener las credenciales iniciales " mensaje

Solución 4:

Tuve esto mismo y descubrí que la respuesta era tan simple después de arreglar mi configuración que todavía tenía esto. Gracias a logicalfuzz en linuxqustions.org.

kinit -V example@unixlinux.online
kinit: KDC reply did not match expectations while getting initial credentials

kinit -V example@unixlinux.online
Authenticated to Kerberos v5

Las mayúsculas marcan la diferencia aquí. Sé que esto se muestra en ejemplos, pero quería enfatizarlo.