kinit(v5):获取初始凭据时在Kerberos数据库中找不到客户端

时间:2014-10-08 12:33:23

标签: active-directory kerberos obiee

我正在努力在11.1.1.7.14中配置SSO,在配置krb5.conf并执行kinit命令的过程中我遇到了问题。

关于Active Directory的一些注释

  • 我们有多个域控制器,并通过端口3269平衡我们维护负载均衡器的请求。
  • obiee和MSAD之间的集成已成功完成,负载均衡器名称为host,port为3269。
  • 并且在demotrust.jks和ovd存储中添加了很少的证书,并且在新的提供程序中启用了SSL。
  • 生成Keytab文件并放置在obiee domain home,krb5.conf和krb5Login.conf文件中相应修改。

我创建了keytab文件并将其放在obiee域home中,然后通过将kdc保持为域控制器的ip地址和admin-server作为域控制器的名称来修改krb5.conf。并在执行

kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name

我有错误“ kinit(v5):获取初始凭据时在Kerberos数据库中找不到客户端”。请分享您的想法/建议以解决此问题。

提前致谢

2 个答案:

答案 0 :(得分:0)

首先,这是serverfault。

  1. 3269不是Kerberos,这是SSL支持的全局编录。纯LDAP而不是Kerberos。这里没什么好意的。
  2. 不要将KDC IP地址放在krb5.conf中,而是像Windows一样依赖DNS SRV记录。
  3. 您不能kinit使用SPN。 kinit期望来自keytab的UPN(来自AD)。像accountname$@EXAMPLE.COM这样的东西,如果这是一个机器帐户。永远记住,SPN 总是绑定到某个帐户,无论是机器还是功能。

答案 1 :(得分:0)

感谢Michael-O的回复。

在进入解决方案之前,我想发布一些有关Active Directory服务器类型和我们连接方式的信息。

我们有一个Active Directory服务器,其中使用了2个域控制器。并且具有端口3269的负载平衡器用于从OBIEE连接到Active目录,并且类似的连接可以在krb5.conf中使用并且在任何需要的地方。 并将基本域视为DOM1,并且所有组都在子域SUBDOM下创建。所以SPN设置在SUBDOM.DOM1.COM。

以下是我们将AD与OBIEE集成并解决了大部分kinit问题的一些建议

  1. 不要使用abosoute路径指定原始名称,只需提及accout_name @ FullyQualifiedDomainName。

  2. KRB5.conf中的更改

    a)由于在创建keytab和设置SPN时将属性“crypto”指定为“all”,因此krb5.conf中提到的keytab文件中存在的所有加密类型(default_tkt_enctypes和default_tgs_enctypes)

    b)在[realms]部分中包含属性kdc的主域控制器ip地址,这与第2点中指定的Michael-O相同。

    c)在krb5.conf的[domain_realm]中保留为.subdom.dom1.com = DOM1.COM。

    d)在krb5.conf的[realms]部分的admin_server属性中包含loadbalancer name的主机名

    3. 完成上述所有更改后,大部分kinit问题都将得到解决,并且通过在所需目录中创建初始故障单来成功执行kinit命令。

    感谢。

相关问题
最新问题