kinit [email protected]
klist -afe
票证缓存:FILE:/tmp/krb5cc_1000
默认主体:[电子邮件保护]
有效起始到期服务主体
08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/[电子邮件保护]
续订至 2011 年 8 月 5 日 13:14:53,标志:FRI
Etype(skey、tkt):des3-cbc-sha1、des3-cbc-sha1
地址:(无)
ldapwhoami -h dc1.windows.domain.tld
SASL/GSSAPI 身份验证已启动
ldap_sasl_interactive_bind_s:本地错误 (-2)
其他信息:SASL(-1):一般故障:GSSAPI 错误:未指定的 GSS 故障。次要代码可能提供更多信息 (服务器 ldap/[电子邮件保护]在 Kerberos 数据库中未找到)
kvno ldap/[email protected]
ldap/[email protected]: kvno = 65
klist -afe
票证缓存:FILE:/tmp/krb5cc_1000
默认主体:[电子邮件保护]
有效起始到期服务主体
08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/[电子邮件保护]
续订至 08/05/11 13:14:53,标志:FRI
Etype(skey,tkt):des3-cbc-sha1,des3-cbc-sha1
地址:(无)
08/04/11 13:24:35 08/05/11 01:14:53 krbtgt/[电子邮件保护]
续订至 08/05/11 13:14:53,标志:FRT
Etype(skey,tkt):des-cbc-crc,des-cbc-crc
地址:(无)
08/04/11 13:24:35 08/05/11 01:14:53 ldap/[电子邮件保护] 续订至 08/05/11 13:14:53,标志:FR
Etype(skey,tkt):arcfour-hmac,arcfour-hmac
地址:(无)
ldapwhoami -h dc1.windows.domain.tld
SASL/GSSAPI 身份验证已启动
ldap_sasl_interactive_bind_s:本地错误 (-2)
其他信息:SASL(-1):一般故障:GSSAPI 错误:未指定的 GSS 故障。次要代码可能提供更多信息 (服务器 ldap/[电子邮件保护]在 Kerberos 数据库中未找到)
答案1
域领域映射不足。
需要
krb5.conf:
[domain_realm]
windows.domain.tld = WINDOWS.DOMAIN.TLD
.windows.domain.tld = WINDOWS.DOMAIN.TLD
或
DNS:
_kerberos.windows.domain.tld. TXT "WINDOWS.DOMAIN.TLD"
仅具有 DNS:
_kerberos.domain.tld. IN TXT "DOMAIN.TLD"
答案2
ldapserver 必须是 /etc/hosts 中的第一个条目
192.168.1.5 fqdn.of.your.ad.server some.other.name and.another
如果 DNS 中的所有内容都正确,则从 /etc/hosts 中将该行全部删除。