kinit（v5）：在获取初始凭据时找不到Kerberos数据库中的客户端

Question

我正在配置对象11.1.1.7.14中的SSO，其中我在配置krb5.conf时遇到问题，执行kinit命令。

关于在Active Directory

• 我们有超过一个域控制器和平衡，我们与端口3269
• 而OBIEE和MSAD之间的整合维修器材的负载平衡器的请求是成功几点注意事项以负载平衡器名称作为主机和端口作为3269完成。
• 并且在demotrust.jks和ovd存储中添加了少量证书，并且在新提供程序中启用了SSL。
• Keytab文件生成并放置在obiee域的home，krb5.conf和krb5Login.conf文件中相应地修改。

我创建密钥表文件并把它放在了OBIEE域回家，然后，通过保持KDC为域控制器和管理服务器的的名称的IP地址的一个修改的krb5.conf域控制器。而在执行

kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name

我有错“的kinit（V5）：客户不是在Kerberos数据库中同时获得初始凭证”。请分享您的意见/建议以解决此问题。

在此先感谢

Answer 1

首先，这是serverfault。

1. 3269不是Kerberos，这是SSL支持的全局编录。纯LDAP不是Kerberos。这里没有意思。
2. 不要将KDC IP地址放在krb5.conf中，而是像Windows那样依赖于DNS SRV记录。
3. 您不能带有SPN的kinit。 kinit期望来自密钥表的UPN（来自AD）。如果这是一台机器帐户，则为accountname$@EXAMPLE.COM。永远记住，一个SPN是总是绑定到某个帐户，无论是机器还是功能。

Answer 2

感谢Michael-O的回复。

在进入解决方案之前，我想发布一些有关Active Directory Server类型和我们连接方式的信息。

我们有一个Active Directory服务器，其中使用了2个域控制器。并且使用端口为3269的负载均衡器连接到来自OBIEE的Active目录，并且可以在krb5.conf中使用类似的连接，并且可以根据需要进行连接。 并将基本域视为DOM1，并且我们所有的组都是在子域SUBDOM下创建的。所以SPN被设置在SUBDOM.DOM1.COM。

下面是一些建议，我们都遵循整合与OBIEE AD和解决了大部分的kinit问题

1. 而是与abosoute路径specfying的主体名称的，只是与accout_name @完全限定的域名不在话下。

2. 变化krb5.conf中

   a）由于属性“加密”是specfied为“所有”，而创建密钥表和设置SPN，所有的加密类型，其存在于密钥表文件作为要提到的在krb5.conf（default_tkt_enctypes和default_tgs_enctypes）中。

   b）的包括在主域控制器的IP地址在[领域]部分中的属性KDC，作为迈克尔-O在KRB5的[domain_realm]点2.

   c）中specfied这将是相同的。 conf保存为.subdom.dom1.com = DOM1.COM。

   d）包括负载均衡器名称的主机名[领域]部分krb5.conf中的为admin_server属性

一旦上述所有的变化都做了，大部分的kinit问题将得到解决， kinit命令将通过在所需目录中创建初始票证而成功执行。

谢谢。