无法通过 Kerberos 从 Windows 10 计算机向 ipa 客户端进行身份验证

我有一台加入域的 Windows 10 计算机，尝试通过 kerberos 向 ipa（4.4.0）客户端（centos 7.2）进行身份验证，我可以使用用户/密码进行身份验证，然后使用 kinit 进行身份验证，但我似乎无法使用我的机器上的 kerberos 票证进行身份验证。

ipaclients 可以通过 kerberos 向 windows 服务器 (winrm) 进行身份验证。

布局 example.org = 具有用户的受信任域 example.com = 系统的根域 ad.example.com = 系统的子域 ipa.example.com = FreeIPA 的领域

对所有域进行身份验证[电子邮件保护]可以工作，Kerberos 可以像预期的那样用于 IIS Windows 身份验证，Winrm 可以使用 Kerberos 在 Windows 和 Linux 上运行。我还没有使用 keytabs 和受信任用户测试过 apache 401。

debug1：下一个身份验证方法：gssapi-with-mic debug1：其他故障（参见文本）无法找到主机 WIN10HOSTNAME 的领域

debug1：其他故障（见文本）无法找到主机 WIN10HOSTNAME 的领域

debug2：我们没有发送数据包，禁用方法

WIN10HOSTNAME = 主机名

我尝试过 MIT Kerberos，也尝试过在 krb5.ini 文件 (windows) 中设置默认领域。我不太清楚如何设置默认领域。

Windows 10 客户端（mingw64）

ssh -V

OpenSSH_7.1p2，OpenSSL 1.0.2h 2016 年 5 月 3 日

klist

Current LogonId is 0:0x3a258

Cached Tickets: (4)

 1      Client: jevans @ EXAMPLE.ORG
        Server: krbtgt/AD.EXAMPLE.ORG @ EXAMPLE.COM
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 1/26/2017 8:26:58 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)
        Cache Flags: 0
        Kdc Called: DC01.example.com

 1      Client: jevans @ EXAMPLE.ORG
        Server: krbtgt/EXAMPLE.COM @ EXAMPLE.ORG
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 1/26/2017 8:26:58 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)
        Cache Flags: 0
        Kdc Called: DC01.example.org

 2      Client: jevans @ EXAMPLE.ORG
        Server: krbtgt/EXAMPLE.ORG @ EXAMPLE.ORG
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -forwardable renewable initial pre_authent name_canonicalize
        Start Time: 1/26/2017 8:25:47 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -PRIMARY
        Kdc Called: DC01.example.org

 3      Client: jevans @ EXAMPLE.ORG
        Server: ldap/AD-DC01.AD.EXAMPLE.ORG/AD.EXAMPLE.ORG @ AD.EXAMPLE.ORG
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 1/26/2017 8:26:58 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: AD-DC01.ad.example.com

Linux 端点 ktutils然后read_kt /etc/krb5.keytab，然后list

slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1 host/[email protected]
   2    1 host/[email protected]
   3    1 host/[email protected]
   4    1 host/[email protected]
   5    1 host/[email protected]
   6    1 host/[email protected]
   7    1 host/[email protected]
   8    1 host/[email protected]
   9    1 host/[email protected]
  10    1 host/[email protected]
  11    1 host/[email protected]
  12    1 host/[email protected]