Lösung 1:
Ist Ihr Domänenname DS.DOMAIN.COM oder einfach DOMAIN.COM ?
In Ihren Realms müssen sie übereinstimmen, also angenommen, dass DS.DOMAIN.COM Ihre Domain ist, müssen Sie Folgendes ändern:
[domain_realm]
.domain.com = DS.DOMAIN.COM
domain.com = DS.DOMAIN.COM
zu
[domain_realm]
.ds.domain.com = DS.DOMAIN.COM
ds.domain.com = DS.DOMAIN.COM
Wenn Ihre Domain jedoch wirklich DOMAIN.COM ist Sie müssten Ihre krb5.conf so ändern, dass sie so aussieht:
[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = ds.domain.com:88
#You can have more than one kds, just keep adding more kdc =
#entries
#kdc = dsN.domain.com:88
#Uncomment if you have a krb admin server
#admin_server = ds.domain.com:749
default_domain = domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
Und dann würden Sie kinit etwa so:kinit [email protected]
Lösung 2:
Im Quellcode sieht es so aus, als ob dieser Fehler ausgelöst wird, wenn der Verhandlungsprozess einen Verweis auf eine andere Domäne erhält und diese Domäne nicht „lokal“ oder in Ihrer krb5.conf-Konfiguration ist.
00219 /*
00220 * If the backend returned a principal that is not in the local
00221 * realm, then we need to refer the client to that realm.
00222 */
00223 if (!is_local_principal(client.princ)) {
00224 /* Entry is a referral to another realm */
00225 status = "REFERRAL";
00226 errcode = KRB5KDC_ERR_WRONG_REALM;
00227 goto errout;
00228 } Was das sein könnte, kann ich dir nicht sagen. Das hängt wahrscheinlich von Ihrer Active Directory-Umgebung ab und davon, ob der Baum mehrere Domänen enthält oder nicht. Wahrscheinlich brauchen Sie mehr domain_realm-Aliase, aber was genau das ist, können wir hier nicht sagen.
Lösung 3:
Ich hatte die gleiche Nachricht mit der gleichen krb5.conf wie von Zypher bereitgestellt:
[libdefaults]
default = MYDOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYDOMAIN.COM = {
kdc = mydc.mydomain.com:88
admin_server = mydc.mydomain.com:749
default_domain = mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
(Entschuldigung, es scheint, ich bekomme keine richtige Formatierung :/ )
In meinem Fall musste ich eher auf MYDOMAIN.LOCAL als auf MYDOMAIN.COM kinit. Ich bin mir nicht sicher, ob dies an einer Authentifizierungseinstellung in AD im Allgemeinen oder nur für meine AD-Domäne liegt. Meine Domäne hat 2 DCs, einer ist W2k3 R2 und der andere (der in krb5.conf als mydc.mydomain.com angegebene) ist W2k8 R2 " Nachricht
Lösung 4:
Ich hatte genau das gleiche und fand, dass die Antwort so einfach war, nachdem ich meine Konfiguration repariert hatte, dass ich das immer noch hatte. Danke anlogicalfuzz auf linuxqustions.org.
kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials
kinit -V [email protected]
Authenticated to Kerberos v5
Die Großbuchstaben machen hier den Unterschied. Ich weiß, dass dies in Beispielen gezeigt wird, aber ich wollte es betonen.