当尝试使用 pam_krb auth 登录新的框设置时,我得到以下信息:
error guessing name of local host principal
TGTR failed verification using keytab: Hostname cannot be canonicalized
这听起来像是某种 DNS 验证错误。假设我在正确的轨道上,有没有人更具体地知道它无法解析什么(客户端、服务器或身份验证服务器主机名、PTR 查找)?
我目前正在设置一个环境,其中我有一组 Solaris 和 Linux 机器,使用专用的 Krberos 5 领域(MIT,在 Solaris 11 上,krb5-config --version返回:)Solaris Kerberos (based on MIT Kerberos 5 release 1.6.3)。我们还有一个用于单独领域的 Active Directory (Windows 2003) 服务器。
我的目标是让 AD 服务器中的所有用户,以及基于 MIT 的领域中的 host/nnn、nfs/nnn 和 cifs/nnn 主体。我正在尝试在这两个领域之间建立跨域信任。
假设如下:
我已经根据Microsoft 文档设置了 AD 跨领域信任,具有双向信任。
发生的情况是跨领域身份验证仅在一个方向上起作用。从 AD 到 Unix 的工作原理:
# kinit adtest@AD.EXAMPLE.COM
Password for adtest@AD.EXAMPLE.COM:
root@clienttest2:~# kvno ltest@EXAMPLE.COM
ltest@EXAMPLE.COM: kvno = 1
但是,相反的情况并没有,并给我一条错误消息:KDC 在获取 adtest@AD.EXAMPLE.COM 的凭据时不支持加密类型
# kinit ltest@EXAMPLE.COM
Password for ltest@EXAMPLE.COM:
root@clienttest2:~# …