我有一个关于检查使用 SSSD 的 Linux(CentOS 6)系统的 AD 域加入状态的问题。对于初始域加入,我使用了 winbind“net ads join -k ...”获取主机 keytab 等。当我发出“net ads testjoin”时,我得到“加入 OK”。
一个月后,SSSD/adcli 更新了机器密码,我获得了一个新的主机 keytab。
当我使用相同的 net ads testjoin 命令检查域加入状态时,出现错误:
kerberos_kinit_password [email protected] failed: Preauthentication failed
我仍然可以使用新的 keytab 获取主机票证,并使用“net ads status”命令检查状态。我可以看到“pwdLastSet: 131463365324203378”,它与 keytab 上的时间戳相匹配。“getent passwd”也成功了;我仍然可以登录服务器。
为什么主机使用 AD 更新其机器密码后“net ads testjoin”会出现错误?
有没有更好的方法来测试域加入状态?
谢谢。