Ich konfiguriere die Kerberos-Authentifizierung für das vollständig in Java implementierte Alfresco CIFS-Protokoll (JLAN-Projekt). Das ist nicht das erste Mal, dass ich es in einem einzigen Schuss richtig eingerichtet habe.
Im selben Netzwerk habe ich mit einem ActiveDirectory Windows 2008R2 und demselben Verfahren das Setup für zwei Umgebungen bereits erfolgreich durchgeführt, aber die Produktionsumgebung bereitet mir Probleme.
Das Produktions-Keytab wurde von ktpass
on ActiveDirectory mit RC4-HMAC wie für andere Umgebungen generiert . Das Konto AlfrescoCifsP
ist für die Produktion und nur für diesen Service bestimmt:
ktpass -princ cifs/[email protected]
-mapuser MYDOMAIN\AlfrescoCifsP -pass <password>
-crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:\temp\prod.keytab
Jetzt versuche ich, es auf RedHat 5.8 mit MIT Kerberos-Bibliotheken und -Dienstprogrammen in Version 1.6.1-70-el4 zu verwenden, und es wurde der folgende Fehler angezeigt :
$ kinit -k -t prod.keytab cifs/myserver.mydomain.com
kinit(v5): Key table entry not found while getting initial credentials
Folgendes habe ich (oft) überprüft:
- Mein
krb5.conf
ist OK, wenn der Standardbereich festgelegt ist - Ich kann offen
prod.keytab
mitktutil
und schreiben Sie den Steckplatz fürcifs/myserver.mydomain.com
- Ich kann mich mit Passwort und Befehl authentifizieren
kinit cifs/myserver.mydomain.com
kvno cifs/myserver.mydomain.com
Gibt dieselbe Schlüsselnummer zurück wie aus dem Keytab-Eintrag- Ich habe auch das ActiveDirectory-Konto gelöscht und mache das Zeug noch einmal. Immer noch das gleiche Ergebnis.
Es wurde also alles getan, um erfolgreich zu sein. Es war erfolgreich für zwei Dienstkonten und schlug für das dritte fehl. Der einzige Unterschied kann die SPN-Länge sein, die etwas länger als bei anderen ist, aber weit unter der SPN-Grenze von 260 Zeichen.
Ich habe den Befehl verschobenkinit -k -t prod.keytab cifs/...
und habe gerade den Lesevorgang für die Keytab-Datei und direkt hinter der Ausgabe der Fehlermeldung an stderr gesehen.
Gibt es ein bekanntes Problem, das zu meinen Problemen in einer ähnlichen Umgebung passt?
Wie kann die Ursache dieses Problems diagnostiziert werden?
Was können die Hauptgründe für einen solchen Fehler sein?
Was soll ich versuchen, um einen Ausweg zu finden?
quelle
libkrb5-3
in Version1.8.3+dfsg-4squeeze6
. Gleiche Arbeit-around, ich habe hinzugefügtenctypes
inkrb5.conf
.Zunächst sollten Sie überprüfen, ob auf Ihrem Computer, auf dem mit SPN referenzierte Dienste ausgeführt werden, eine Vertrauensbeziehung zum Domänencontroller besteht (Domänennetzwerk in "Open Network and Sharing Center"). Sobald OK, generieren Sie das Ticket erneut und führen Sie kinit wie folgt aus:
kinit -k -t prod.keytab cifs/[email protected]
Fazit: Ihnen fehlt das REALM (@ MYDOMAIN.COM)
HINWEIS: GÜLTIG FÜR WINDOWS 2008 EE X64 R2
quelle