我想用Apache配置Kerberos auth - 没有成功。用keytab文件看问题。
当我跑:
klist -kte /path/to/website.HTTP.keytab
I get:
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
12 01/01/1970 02:00:00 HTTP/website.domain@DOMAIN
然后我跑:
kinit -k -t /path/to/website.HTTP.keytab HTTP/website.domain@DOMAIN
kinit: Client 'HTTP/website.domain@DOMAIN' not found in Kerberos database while getting initial credentials
任何想法什么都出错了?
HTTP /website.domain@DOMAIN是一个不完整的SPN,这似乎是kinit无法在数据库中找到SPN的最可能原因。例如,完整的SPN将如下所示:HTTP /[email protected]。要修复,您需要使用完全限定的语法重新创建密钥表。 Example:
ktpass -out HTTP.keytab -mapUser [email protected] +rndPass -mapOp set +DumpSalt -crypto AES128-SHA1 -ptype KRB5_NT_PRINCIPAL -princ HTTP/[email protected]