GNU/Linux >> Tutoriales Linux > >> Linux

Kinit no se conectará a un servidor de dominio:el dominio no es local para KDC al obtener las credenciales iniciales

Solución 1:

¿Tu nombre de dominio es DS.DOMAIN.COM? o simplemente DOMAIN.COM ?

En sus dominios, debe hacer que coincidan, por lo que, suponiendo que DS.DOMAIN.COM es su dominio, debe cambiar:

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM

a

[domain_realm]
    .ds.domain.com = DS.DOMAIN.COM
    ds.domain.com = DS.DOMAIN.COM

Sin embargo, si su dominio es realmente DOMAIN.COM necesitaría cambiar su krb5.conf para que se vea así:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
    DOMAIN.COM = {
        kdc = ds.domain.com:88
        #You can have more than one kds, just keep adding more kdc =
        #entries
        #kdc = dsN.domain.com:88
        #Uncomment if you have a krb admin server
        #admin_server = ds.domain.com:749
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

Y luego kinit así:kinit [email protected]

Solución 2:

En cuanto al código fuente, parece que se produce ese error cuando el proceso de negociación recibe una referencia a otro dominio y ese dominio no es 'local', o en su configuración krb5.conf.

00219     /*
00220      * If the backend returned a principal that is not in the local
00221      * realm, then we need to refer the client to that realm.
00222      */
00223     if (!is_local_principal(client.princ)) {
00224       /* Entry is a referral to another realm */
00225       status = "REFERRAL";
00226       errcode = KRB5KDC_ERR_WRONG_REALM;
00227       goto errout;
00228     }

Qué podría ser eso, no sabría decirte. Eso probablemente depende de su entorno de Active Directory y de si hay o no varios dominios en el árbol. Probablemente necesite más alias de domain_realm, pero no podemos decir exactamente qué es eso desde aquí.

Solución 3:

Recibí el mismo mensaje usando el mismo krb5.conf proporcionado por Zypher:

[libdefaults]
   default = MYDOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true

[realms]
MYDOMAIN.COM = {
   kdc = mydc.mydomain.com:88
   admin_server = mydc.mydomain.com:749
   default_domain = mydomain.com
}

[domain_realm]
   .mydomain.com = MYDOMAIN.COM
   mydomain.com = MYDOMAIN.COM

(Lo siento, parece que no puedo obtener el formato adecuado :/ )

En mi caso, necesitaba vincularme a MYDOMAIN.LOCAL en lugar de MYDOMAIN.COM. No estoy seguro si esto se debe a una configuración de autenticación en AD en general o solo para mi dominio AD. Mi dominio tiene 2 DC, uno es W2k3 R2 y el otro (el especificado como mydc.mydomain.com en krb5.conf) es W2k8 R2. Pero esta es otra posible causa de que el "Reino no sea local para KDC al obtener las credenciales iniciales " mensaje

Solución 4:

Tuve esto mismo y descubrí que la respuesta era tan simple después de arreglar mi configuración que todavía tenía esto. Gracias a logicalfuzz en linuxqustions.org.

kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials

kinit -V [email protected]
Authenticated to Kerberos v5

Las mayúsculas marcan la diferencia aquí. Sé que esto se muestra en ejemplos, pero quería enfatizarlo.

¿Cómo comprobar la utilización de E/S de disco por proceso?

¿Cómo configurar PATH para todos los usuarios en Debian?

Linux

El cliente FTP no se conecta al servidor FTP de Microsoft

Cómo inicializar la configuración del servidor CentOS 7

Cómo:Configuración inicial del servidor Ubuntu 15.04

Cómo:Configuración inicial del servidor Fedora 21

Cómo:unir un Windows Server 2012 a un dominio

Cómo:Configuración inicial del servidor Debian 8.2