ActiveDirectory Kerberos密钥表无法从Linux中使用

前端之家收集整理的这篇文章主要介绍了ActiveDirectory Kerberos密钥表无法从Linux中使用前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在为 Java完全实现的 Alfresco CIFS protocol配置Kerberos身份验证(JLAN项目).这不是第一次,我曾经一次性设置它.

在同一个网络中,使用ActiveDirectory Windows 2008R2和相同的程序,我已经成功完成了两个环境的设置,但生产环境给我带来了麻烦.

生产密钥表是由具有RC4-HMAC的ActiveDirectory上的ktpass生成的,就像其他环境一样.账户AlfrescoCifsP专门用于生产和这项服务:

ktpass -princ cifs/myserver.mydomain.com@MYDOMAIN.COM
       -mapuser MYDOMAIN\AlfrescoCifsP -pass <password>
       -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:\temp\prod.keytab

现在我尝试在RedHat 5.8上使用它与版本1.6.1-70-el4中的MIT Kerberos库和实用程序,我收到以下错误

$kinit -k -t prod.keytab cifs/myserver.mydomain.com
kinit(v5): Key table entry not found while getting initial credentials

这是我检查过的(很多次):

>我的krb5.conf没有默认域设置
>我可以用ktutil打开prod.keytab并列出cifs / myserver.mydomain.com的插槽
>我可以使用密码和命令kinit cifs / myserver.mydomain.com进行身份验证
> kvno cifs / myserver.mydomain.com返回与keytab条目相同的密钥号
>我还删除了ActiveDirectory帐户并再次执行此操作.结果仍然相同.

所以一切都已成功完成.它成功用于两个服务帐户,而第三个服务帐户失败.唯一的区别可能是SPN长度比其他长度稍长但远小于SPN限制260个字符.

我已经使用了kinit -k -t prod.keytab cifs / …命令,我刚看到keytab文件的读取操作,并在错误消息的输出后面发送到stderr.

在类似的环境中是否存在与我的问题相匹配的已知问题?

如何诊断此问题的根源?

这种失败的主要原因是什么?

我应该尝试什么才能找到出路?

解决方法

由于网络捕获,我的客户管理员发现了Novell记录的匹配问题:
http://www.novell.com/support/viewContent.do?externalId=7005039&sliceId=1

我已经在krb5.conf中添加了以下行来解决kerberos 1.6.1库的问题:

default_tkt_enctypes = rc4-hmac
 default_tgs_enctypes = rc4-hmac

在我看来,最近的MIT Kerberos库不需要这些行.

猜你在找的Linux相关文章