kinit(v5):获取初始凭据时在Kerberos数据库中找不到客户端

问题描述 投票:2回答:2

我正在努力在11.1.1.7.14中配置SSO,其中我在配置krb5.conf并执行kinit命令时面临问题。

关于Active Directory的一些注意事项

  • 我们有多个域控制器并平衡我们使用端口3269维护负载均衡器的请求。
  • obiee和MSAD之间的集成成功完成,负载均衡器名称为主机,端口为3269。
  • 并且在demotrust.jks和ovd存储中添加了很少的证书,并且在新提供程序中启用了SSL。
  • Keytab文件生成并放置在obiee domain home,krb5.conf和krb5Login.conf文件中相应修改。

我创建了keytab文件并将其放在obiee域中,然后通过将kdc保持为域控制器的ip地址和admin-server作为域控制器的名称来修改krb5.conf。并在执行时

kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name

我有错误“kinit(v5):获取初始凭据时在Kerberos数据库中找不到客户端”。请分享您的想法/建议以解决此问题。

提前致谢

active-directory kerberos obiee
2个回答
0
投票

首先,这是serverfault。

  1. 3269不是Kerberos,这是SSL支持的全局编录。纯LDAP而不是Kerberos。这里没什么好玩的
  2. 不要将KDC IP地址放在krb5.conf中,而是像Windows一样依赖DNS SRV记录。
  3. 你不能用SPN kinitkinit期望从密钥表中获取UPN(来自AD)。像[email protected]这样的东西,如果这是一个机器帐户。永远记住,SPN总是绑定到某个帐户,无论是机器还是功能。
0
投票

感谢Michael-O的回复。

在进入解决方案之前,我想发布一些有关Active Directory服务器类型和我们连接方式的信息。

我们有一个Active Directory服务器,其中使用了2个域控制器。并且使用端口3269的负载平衡器从OBIEE连接到Active目录,并且可以在krb5.conf中使用类似的连接以及需要的地方。并将基本域视为DOM1,并且所有组都在子域SUBDOM下创建。所以SPN设置在SUBDOM.DOM1.COM。

以下是我们将AD与OBIEE集成后所遵循的一些建议,并解决了大部分的kinit问题

  1. 不要使用绝对路径指定原始名称,而只需提及帐户名称@ FullyQualifiedDomainName。
  2. KRB5.conf的变化 a)由于在创建keytab和设置SPN时将属性“crypto”指定为“all”,因此keytab文件中存在的所有加密类型将在krb5.conf中提及(default_tkt_enctypes和default_tgs_enctypes)。 b)在[realms]部分中包含属性kdc的主域控制器ip地址,这与第2点中指定的Michael-O相同。 c)在krb5.conf的[domain_realm]中保留为.subdom.dom1.com = DOM1.COM。 d)在krb5.conf的[realms]部分的admin_server属性中包含loadbalancer name的主机名

完成上述所有更改后,大多数kinit问题都将得到解决,并且通过在所需目录中创建初始故障单来成功执行kinit命令。

谢谢。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.