it-swarm.com.de

Kinit stellt keine Verbindung zu einem Domänenserver her: Realm ist nicht lokal für KDC, während die ersten Anmeldeinformationen abgerufen werden

Ich richte eine Testumgebung ein, in der sich Linux-Clients (Ubuntu 10.04) bei einem Windows Server 2008 R2-Domänenserver authentifizieren.

Ich folge dem offiziellen Ubuntu-Handbuch, um hier einen Kerberos-Client einzurichten: https://help.ubuntu.com/community/Samba/Kerberos , aber beim Ausführen von kinit Befehl zum Herstellen einer Verbindung zum Domänenserver.

Der Befehl, den ich ausführe, lautet: kinit [email protected]. Dieser Befehl gibt den folgenden Fehler zurück:

Realm not local to KDC while getting initial credentials. Leider kann ich über die Google-Suche niemanden finden, bei dem genau dieser Fehler aufgetreten ist. Daher habe ich keine Ahnung, was dies bedeutet.

Der Client kann den Hostnamen des Servers anpingen, sodass der DNS-Server auf den Domänenserver verweist.

Unten ist meine krb5.conf-Datei:

[libdefaults]
default = DS.DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc true

[realms]
    DS.DOMAIN.COM = {
        kdc = ds.domain.com:88
        admin_server = ds.domain.com
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM

Wie kann ich diese Fehler korrigieren? Ich würde mich sehr über jede Hilfe freuen, die ich bekommen kann!

13
Phanto

Ist Ihr Domainname DS.DOMAIN.COM Oder nur DOMAIN.COM?

In Ihrem Bereich müssen sie übereinstimmen. Unter der Annahme, dass DS.DOMAIN.COM Ihre Domain ist, müssen Sie Folgendes ändern:

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM

zu

[domain_realm]
    .ds.domain.com = DS.DOMAIN.COM
    ds.domain.com = DS.DOMAIN.COM

Wenn Ihre Domain jedoch wirklich DOMAIN.COM Ist, müssen Sie Ihre krb5.conf so ändern, dass sie wie folgt aussieht:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
    DOMAIN.COM = {
        kdc = ds.domain.com:88
        #You can have more than one kds, just keep adding more kdc =
        #entries
        #kdc = dsN.domain.com:88
        #Uncomment if you have a krb admin server
        #admin_server = ds.domain.com:749
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

Und dann würden Sie kinit so mögen: kinit [email protected]

12
Zypher

Beim Betrachten des Quellcodes sieht es so aus, als würde ein Fehler ausgelöst, wenn der Verhandlungsprozess eine Verweisung auf eine andere Domäne erhält und diese Domäne nicht "lokal" oder in Ihrer krb5.conf-Konfiguration ist.

00219 /*[.____.‹00220 * Wenn das Backend einen Principal zurückgegeben hat, der sich nicht im lokalen Bereich 
 00221 * befindet, müssen wir den Client auf diesen Bereich verweisen. 
 00222 */
 00223 if (! Is_local_principal (client.princ)) {
 00224/* Der Eintrag ist eine Überweisung in einen anderen Bereich */
 00225 status = "REFERRAL"; 
 00226 errcode = KRB5KDC_ERR_WRONG_REALM; 
 00227 gehe zum Fehler; 
 00228}

Was das sein könnte, konnte ich dir nicht sagen. Dies hängt wahrscheinlich von Ihrer Active Directory-Umgebung ab und davon, ob der Baum mehrere Domänen enthält oder nicht. Sie benötigen wahrscheinlich mehr Domain_realm-Aliase, aber genau das können wir hier nicht sagen.

3
sysadmin1138

Ich hatte genau das gleiche und fand die Antwort so einfach, nachdem ich meine Konfiguration repariert hatte, dass ich diese immer noch hatte. Dank Logicfuzz auf linuxqustions.org.

kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials

kinit -V [email protected]
Authenticated to Kerberos v5

Die Hauptstädte machen hier den Unterschied. Ich weiß, dass dies in Beispielen gezeigt wird, aber ich wollte es betonen.

2
user375207

Ich hatte dieselbe Nachricht mit derselben krb5.conf wie von Zypher:

[libdefaults]
   default = MYDOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true

[realms]
MYDOMAIN.COM = {
   kdc = mydc.mydomain.com:88
   admin_server = mydc.mydomain.com:749
   default_domain = mydomain.com
}

[domain_realm]
   .mydomain.com = MYDOMAIN.COM
   mydomain.com = MYDOMAIN.COM

(Entschuldigung, ich kann anscheinend nicht richtig formatieren: /)

In meinem Fall musste ich eher zu MYDOMAIN.LOCAL als zu MYDOMAIN.COM wechseln. Ich bin mir nicht sicher, ob dies auf eine Authentifizierungseinstellung in AD im Allgemeinen oder nur für meine AD-Domäne zurückzuführen ist. Meine Domain hat 2 DCs, einer ist W2k3 R2 und der andere (der in krb5.conf als mydc.mydomain.com angegebene) ist W2k8 R2. Dies ist jedoch eine weitere mögliche Ursache für die Meldung "Realm nicht lokal für KDC beim Abrufen der ersten Anmeldeinformationen"

2
zsispeo

ich füge dies hinzu, nur weil ich gerade wegen des gleichen Fehlers hier geendet habe, aber eine andere Lösung für ein weiteres Problem gefunden habe. Stellen Sie sicher, dass sich die Domain in ALL CAPS befindet: [email protected] und nicht [email protected] ... ich habe gerade 2 Stunden meines Lebens wegen dieser verloren ...

0
boiss007

Ich habe diesen Fehler beim Versuch, diesen Computer von einer Domäne zu einer anderen Domäne zu verbinden, erhalten. Das Bearbeiten von /etc/krb5.conf hat ebenfalls nicht funktioniert. Dann habe ich den folgenden Befehl versucht, um Sachen für verschiedene Domänen neu zu konfigurieren

# Sudo dpkg-reconfigure -plow krb5-config

mit den gewünschten Optionen und Einstellungen, die den obigen Fehler im Befehl kinit nicht mehr anzeigen. Aufgelöst.

0
vallabh

Ich weiß, dass dies eine alte Frage ist, aber ich möchte für zukünftige Problemlöser hinzufügen, dass meine Lösung für dieses Problem eine Kombination aller vorgeschlagenen Antworten sowie das Hinzufügen meines primären Domänencontrollers zu meinem /etc/hosts War.

0
Norr