Soluzione 1:
Il tuo nome di dominio è DS.DOMAIN.COM o solo DOMAIN.COM ?
Nei tuoi reami devi farli corrispondere, quindi supponendo che DS.DOMAIN.COM sia il tuo dominio devi cambiare:
[domain_realm]
.domain.com = DS.DOMAIN.COM
domain.com = DS.DOMAIN.COM
a
[domain_realm]
.ds.domain.com = DS.DOMAIN.COM
ds.domain.com = DS.DOMAIN.COM
Tuttavia, se il tuo dominio è davvero DOMAIN.COM dovresti cambiare il tuo krb5.conf in modo che assomigli a:
[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = ds.domain.com:88
#You can have more than one kds, just keep adding more kdc =
#entries
#kdc = dsN.domain.com:88
#Uncomment if you have a krb admin server
#admin_server = ds.domain.com:749
default_domain = domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
E poi avresti kinit così:kinit [email protected]
Soluzione 2:
Dando un picco al codice sorgente, sembra che l'errore venga generato quando il processo di negoziazione riceve un rinvio a un altro dominio e quel dominio non è "locale" o nella tua configurazione krb5.conf.
00219 /*
00220 * If the backend returned a principal that is not in the local
00221 * realm, then we need to refer the client to that realm.
00222 */
00223 if (!is_local_principal(client.princ)) {
00224 /* Entry is a referral to another realm */
00225 status = "REFERRAL";
00226 errcode = KRB5KDC_ERR_WRONG_REALM;
00227 goto errout;
00228 } Cosa potrebbe essere, non saprei dirtelo. Ciò dipende probabilmente dal tuo ambiente Active Directory e dalla presenza o meno di più domini nell'albero. Probabilmente avrai bisogno di più alias domain_realm, ma da qui non possiamo dire esattamente cosa sia.
Soluzione 3:
Ho ricevuto lo stesso messaggio utilizzando lo stesso krb5.conf fornito da Zypher:
[libdefaults]
default = MYDOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYDOMAIN.COM = {
kdc = mydc.mydomain.com:88
admin_server = mydc.mydomain.com:749
default_domain = mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
(scusa sembra che non riesca a ottenere la formattazione corretta :/ )
Nel mio caso, avevo bisogno di eseguire il kinit su MYDOMAIN.LOCAL anziché su MYDOMAIN.COM. Non sono sicuro che ciò sia dovuto a un'impostazione di autenticazione in AD in generale o solo per il mio dominio AD. Il mio dominio ha 2 controller di dominio, uno è W2k3 R2 e l'altro (quello specificato come mydc.mydomain.com in krb5.conf) è W2k8 R2. " messaggio
Soluzione 4:
Ho avuto lo stesso e ho scoperto che la risposta era così semplice dopo aver corretto la mia configurazione che avevo ancora questo. Grazie a logicalfuzz su linuxqustions.org.
kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials
kinit -V [email protected]
Authenticated to Kerberos v5
Le maiuscole qui fanno la differenza. So che questo viene mostrato negli esempi, ma volevo sottolinearlo.