我正在使用在VirtualBox VM中运行的CentOS7(更具体的:Hortonworks HDP 2.3沙箱)上设置Kerberos。我的问题是,kinit似乎无法联系到我的KDC,答案是"资源暂时无法获得初始凭证" 如果我在 / etc中添加地址/ hosts 文件,如果我保留该文件,我会收到消息"在获取初始凭据时无法联系任何主机mym mycompany" 。
KDC正在运行(可以通过ps找到它,服务以" okay"消息开始),对于kadmin也是如此。
作为设置kerberos的指南,我遵循了这两个指南:
CentOS guide
Guide 2
我的配置文件: krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
[libdefaults]
default_realm = MYCOMPANY.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYCOMPANY.COM = {
kdc = kerberos.mycompany.com
admin_server = kerberos.mycompany.com
}
[domain_realm]
.mycompany.com = MYCOMPANY.COM
mycompany.com = MYCOMPANY.COM
kdc.conf中
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88,750
[realms]
MYCOMPANY.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
的kadm5.acl
*/admin@MYCOMPANY.COM *
的/ etc /主机
127.0.0.1 localhost.localdomain localhost
192.168.96.140 sandbox.hortonworks.com sandbox ambari.hortonworks.com
192.168.1.3 mycompany.com kerberos.mycompany.com
我得到了资源......"错误,如果我在hosts文件的第三行有任何地址,如果该行丢失我得到"无法联系..."错误。
我可以用krb5_trace或其他东西(不幸的是我无法找到我从任何时候得到它的链接,也记得确切的命令)跟踪主机文件中指定的地址,跟踪kinit命令kinit似乎联系了拟合地址,只是KDC不在那里听 Netstat显示KDC正在侦听kdc.conf中指定的端口
任何帮助将不胜感激
答案 0 :(得分:2)
好的,现在确实有效。我做的事情要解决它:
/etc/resolv.conf
mycompany.com 127.0.0.1
/ etc / hosts
127.0.0.1 localhost.localdomain localhost
192.168.96.140 sandbox.hortonworks.com sandbox ambari.hortonworks.com
127.0.0.1 mycompany.com kerberos.mycompany.com
而且,最令人尴尬的是:我使用kinit mycompany / admin作为校长 user/admin@mycompany.com ,这当然是错误的。
正确的通话当然是 kinit user / admin