Ошибка входа в Kerberos: невозможно разрешить сетевой адрес для KDC в запрошенной области - Kerio и Open Directory
Я пытаюсь подключить Kerio к экземпляру Open Directory. Я использую kinit для проверки настроек и получаю следующее:
$ kinit -V -S host/server.domain.co.uk@server.domain.co.uk igor@server.domain.co.uk
Please enter the password for igor@server.domain.co.uk:
Kerberos Login Failed: Cannot resolve network address for KDC in requested realm
Это происходит, хотя я на 100% уверен, что пароль правильный. В любом случае, я больше обеспокоен тем, какая часть сообщения гласит
Kerberos Login Failed: Cannot resolve network address for KDC in requested realm
С сервера под управлением OD и второго на домашнем сервере я получаю такое же сообщение об ошибке. Я могу правильно копать и пинговать server.domain.co.uk с обоих серверов, поэтому я не могу понять, что может быть не так.
Мне нужно, чтобы это работало, прежде чем я смогу двигаться вперед и подключить экземпляр Kerio к моему OD.
edu.mit.kerberos
[libdefaults]
default_realm = SERVER.domain.CO.UK
[realms]
SERVER.domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk
}
[domain_realm]
domain.co.uk = SERVER.domain.CO.UK
.domain.co.uk = SERVER.domain.CO.UK
[logging]
admin_server = FILE:/var/log/krb5kdc/kadmin.log
kdc = FILE:/var/log/krb5kdc/kdc.log
SERVER - это реальное имя хоста для рассматриваемой машины, а domain.co.uk - это мое полное доменное имя, или, по крайней мере, заменяет мое полное доменное имя.
Спасибо за любую помощь.
6 ответов
Отвечая на старые вопросы:
Этот вопрос IIRC оказался комбинацией вещей
- DNS для домена был сломан
- Сервер OSX был поврежден, обновления не проходили, а конфигурация службы таинственно исчезала
- Там, где три клона одного и того же экземпляра сервера работают по одному проводу, но для трех разных компаний все используют одни и те же доменные имена
- и кикер "соединены вместе через общий вайфай"
После того, как мы обнаружили, мы предложили услуги по управлению сетью всем, кто разделяет это пространство, и обнаружили, что они используют оптоволоконную связь, причем все их маршрутизаторы подключены друг к другу по причинам отказа.
Это был момент, который вызвал у каждой компании отдельные проблемы - до тех пор, пока мы не перестроили участок:)
Похоже, что ваши объявления REALM и KDC могут быть немного отклонены.
Я могу ошибаться, но я думаю, вместо
[libdefaults]
default_realm = SERVER.domain.CO.UK
[] сферы
SERVER.domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk}
Вы хотели бы поставить
[libdefaults]
default_realm = domain.CO.UK
[] сферы
domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk}
Основной Kerberos - это имя пользователя @ realm, а не username @ domain, и область чувствительна к регистру, поэтому, пожалуйста, попробуйте свой kinit для igor@SERVER.domain.CO.UK, используя заглавные буквы, точно так же, как вы используете заглавные буквы в своей конфигурации.
Тонкое различие между сервером и областью заключается в том, почему вашу ошибку так трудно интерпретировать - она пытается сказать: "Я не знаю, какой адрес сервера был бы для этого REALM - я не могу сопоставить этот REALM с чем-либо в Conf файл."
Просто попал в ту же ситуацию на Debian GNU/Linux jessie. Резольвер внутри кинита просто не работал. strace показывает, что kinit запрашивает демона Avahi через lib-mdns. Я удалил авахи и кинит начал работать. Резюме - либо удалите avahi-daemon, либо настройте его правильно.
[libdefaults]
default_realm = domain.CO.UK
[realms]
domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk
}