我已经配置了两台 CentOS 计算机,通过 kerberos 和 LDAP 向 Windows Server 2008 R2 Active Directory 进行身份验证。我现在正尝试对 Solaris 10u9(未升级到 Kerberos 或 ldap)计算机执行相同操作,但遇到了一个问题——活动目录用户无法使用 ssh 登录 Solaris 计算机。本地用户可以正常登录。我可以kinit成功使用并id适用于活动目录用户。在 /var/adm/messages 中,每次我尝试使用 AD 用户登录时都会收到此消息(一些信息已删除):
Nov 3 16:31:03 hostname.f.q.d.n sshd[1024]: [ID 537602 auth.error] PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found
但是,keytab 存在并且正确:
-bash-3.00$ ls -la /etc/krb5/krb5.keytab
-rwx------ 1 root root 422 Nov 3 15:33 /etc/krb5/krb5.keytab
-bash-3.00$ sudo klist -e -k /etc/krb5/krb5.keytab
Keytab name: WRFILE:/etc/krb5/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 HOST/[email protected] (DES cbc mode with CRC-32)
3 HOST/[email protected] (DES cbc mode with RSA-MD5)
3 HOST/[email protected] (ArcFour with HMAC/md5)
3 HOST/[email protected] (AES-256 CTS mode with 96-bit SHA-1 HMAC)
3 HOST/[email protected] (AES-128 CTS mode with 96-bit SHA-1 HMAC)
-bash-3.00$
我的主机名和域名也正确:
-bash-3.00$ hostname
hostname.f.q.d.n
-bash-3.00$ cat /etc/nodename
hostname.f.q.d.n
-bash-3.00$ domainname
f.q.d.n
-bash-3.00$ cat /etc/defaultdomain
f.q.d.n
fqdn 的所有实例都是相等的。同样适用于 FQDN 和 hostname.fqdn 知道我为什么会收到此消息吗?
当非 root 用户尝试su <AD-user>登录该机器时也会发生同样的错误。
答案1
Solaris 不使用 MIT-Kerberos 软件包,而是使用 Sun 特有的软件包,其行为有时会有所不同。您可能想尝试安装 MIT-Kerberos 以重用现有的 CentOS 配置。