从管理服务器初始化 kadmin 接口时出现 Kerberos 错误

我遇到了同样的问题（相同的 Debian 和 krb5-admin-server 版本）。

和你一样，当我从 kerberos 管理服务器本身运行 kadmin 时它不起作用，这排除了时间差异（我甚至安装了 NTP 以确保 - 它对问题没有影响）。

就我而言，问题出在熵上。Kadmin 非常安全，需要大量熵来生成会话密钥。

我的设置（测试设置）正在虚拟机上运行。我发现根本无法使用 kadmin，但大约半小时后，kadmin 就会“神秘地”开始工作。

您可以在以下位置检查系统熵：

/proc/sys/内核/随机/entropy_avail

为了解决这个问题，我利用了主机的熵（/dev/random），并使用 rng-tools 将其提供给 kadmin。

另外，对于常规的 Kerberos 故障排除，您可以查看：

https://web.mit.edu/kerberos/krb5-latest/doc/admin/troubleshoot.html

诸如下列操作将把跟踪日志发送到标准输出，让您可以详细了解正在发生的事情：

env KRB5_TRACE=/dev/stdout kadmin -p johndoe/[email protected]

检查服务器上是否已打开 kdc 端口（749默认情况下，tcp和udp），并且客户端可以连接到它。这对我来说是导致错误的问题kadmin: Communication failure with server while initializing kadmin interface。

supported_enctypes从 krb5 1.17 升级到 1.18 后，我遇到了这个错误，对我来说，答案最终是我需要在我的 中注释掉kdc.conf：https://forum.ubuntuusers.de/topic/krb5-admin-server-startet-nicht-mehr/#post-9160670（德语）。

我认为这与在 krb5 1.18 中删除单 DES 有关。我的配置来自以前的默认设置，并且一直适用于 1.17，如下所示：

supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3

https://web.mit.edu/kerberos/krb5-latest/doc/admin/advanced/retiring-des.html

我敢打赌，我可能只是从该列表中删除了单 DES 条目，但在这种情况下，最好只使用使用更强的 AES 加密的较新的默认值。

所以在某些情况下，这个错误实际上可能意味着kdc.conf参数过多而不是缺少参数。如果它能告诉你哪些参数有问题而不是让你猜测，那就太好了。