我使用 ActiveDirectory 域中的 kerberos/sssd 身份验证成功登录 Ubuntu 18.04。几天以来,我在使用 kerberos 票证/凭据缓存对某些服务器共享进行身份验证时遇到问题。
如果我调用 klist,我的凭证缓存将显示开始和到期日期 01.01.1970。我相信这是导致我出现问题的原因。删除 /tmp/krb5cc-file 并再次使用 kinit 进行身份验证后,开始和到期日期正确,并且针对服务器共享的身份验证工作正常。
您知道导致此行为的已知问题吗?或者有任何提示如何在没有双重身份验证的情况下解决此问题?
我的一些同事也在使用 18.04,但没有任何问题。
帕特里克
答案1
我发现了这个问题。似乎我的计算机帐户存储在 Active Directory 中出了问题。奇怪的是,我的情况是它丢失了。使用 net ads join 添加它后,一切正常。感谢您的支持!
答案2
重新安装 Ubuntu 18.04 后,我的本地单点登录环境(不是 AD,而是 OpenLDAP + MIT Kerberos)也出现了类似的问题。对我来说,配置 sssd 以自动更新票证解决了这个问题。我只需要将以下几行添加到 sssd.conf 并重新启动 sssd 服务。
[domain/MY_REALM_NAME]
...
krb5_lifetime = 7d
krb5_renewable_lifetime = 7d
krb5_renew_interval = 30m
...
https://serverfault.com/a/133631/86462还包含一些关于如何计算票证有效期的有趣细节。