kinit（v5）：在獲取初始憑據時找不到Kerberos數據庫中的客戶端

Question

我正在配置對象11.1.1.7.14中的SSO，其中我在配置krb5.conf時遇到問題，執行kinit命令。

關於在Active Directory

• 我們有超過一個域控制器和平衡，我們與端口3269
• 而OBIEE和MSAD之間的整合維修器材的負載平衡器的請求是成功幾點注意事項以負載平衡器名稱作爲主機和端口作爲3269完成。
• 並且在demotrust.jks和ovd存儲中添加了少量證書，並且在新提供程序中啓用了SSL。
• Keytab文件生成並放置在obiee域的home，krb5.conf和krb5Login.conf文件中相應地修改。

我創建密鑰表文件並把它放在了OBIEE域回家，然後，通過保持KDC爲域控制器和管理服務器的的名稱的IP地址的一個修改的krb5.conf域控制器。而在執行

kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name

我有錯「的kinit（V5）：客戶不是在Kerberos數據庫中同時獲得初始憑證」。請分享您的意見/建議以解決此問題。

在此先感謝

Answer 1

首先，這是serverfault。

1. 3269不是Kerberos，這是SSL支持的全局編錄。純LDAP不是Kerberos。這裏沒有意思。
2. 不要將KDC IP地址放在krb5.conf中，而是像Windows那樣依賴於DNS SRV記錄。
3. 您不能帶有SPN的kinit。 kinit期望來自密鑰表的UPN（來自AD）。如果這是一臺機器帳戶，則爲accountname$@EXAMPLE.COM。永遠記住，一個SPN是總是綁定到某個帳戶，無論是機器還是功能。

Answer 2

感謝Michael-O的回覆。

在進入解決方案之前，我想發佈一些有關Active Directory Server類型和我們連接方式的信息。

我們有一個Active Directory服務器，其中使用了2個域控制器。並且使用端口爲3269的負載均衡器連接到來自OBIEE的Active目錄，並且可以在krb5.conf中使用類似的連接，並且可以根據需要進行連接。 並將基本域視爲DOM1，並且我們所有的組都是在子域SUBDOM下創建的。所以SPN被設置在SUBDOM.DOM1.COM。

下面是一些建議，我們都遵循整合與OBIEE AD和解決了大部分的kinit問題

1. 而是與abosoute路徑specfying的主體名稱的，只是與accout_name @完全限定的域名不在話下。

2. 變化krb5.conf中

   a）由於屬性「加密」是specfied爲「所有」，而創建密鑰表和設置SPN，所有的加密類型，其存在於密鑰表文件作爲要提到的在krb5.conf（default_tkt_enctypes和default_tgs_enctypes）中。

   b）的包括在主域控制器的IP地址在[領域]部分中的屬性KDC，作爲邁克爾-O在KRB5的[domain_realm]點2.

   c）中specfied這將是相同的。 conf保存爲.subdom.dom1.com = DOM1.COM。

   d）包括負載均衡器名稱的主機名[領域]部分krb5.conf中的爲admin_server屬性

一旦上述所有的變化都做了，大部分的kinit問題將得到解決， kinit命令將通過在所需目錄中創建初始票證而成功執行。

謝謝。