ktpass -princ HTTP/10.222.105.36@DEG01.DEV -pass * -mapuser spnego@DEG01.DEV
ktab -k c:/service.keytab -a HTTP/10.222.105.36@DEG01.DEV
但我得到了错误
Client not found in Kerberos database (6)
任何人都可以确认我的 unix 机器 IP 应该在 Active Directory 上定义吗?
谢谢你的帮助
1 回答
0
是的,Kerberos 身份验证工作的先决条件是主机名和 IP 地址的正确 DNS 和反向 DNS 条目。
此约束的目的是在安全团队中增加一个层级,但一体化的 ActiveDirectory 打破了这个想法。
要验证您的设置,您可以在 Unix 上使用 Kerberos 命令行工具(MIT 或 Heimdal):
- 具有正确
/etc/krb5.conf和默认的领域集 kinit user进行基于密码的身份验证kvno HTTP/yourIP获取此 SPN 的 TGSkvno HTTP/yourhost.yourdomain.com如果您已注册备用 SPNsetspn -aklist -ef使用标志和加密查看缓存中的 TGT 和 TGS 票证kdestroy刷新用户的缓存kinit -k -t service.keytab HTTP/yourIP测试基于 keytab 的身份验证
于 2012-03-19T20:21:36.380 回答