Active directory 对ActiveDirectory和多个域使用mod_auth_kerb进行Kerberos身份验证_Active Directory_Apache2_Kerberos

Active directory 对ActiveDirectory和多个域使用mod_auth_kerb进行Kerberos身份验证

active-directory apache2

Active directory 对ActiveDirectory和多个域使用mod_auth_kerb进行Kerberos身份验证,active-directory,apache2,kerberos,Active Directory,Apache2,Kerberos,我们的环境如下所示：我们有一个相互信任的ActiveDirectory服务器森林我们有一个带有mod_auth_kerb的Linux Apache，可以对“主”广告服务器进行身份验证对于某些客户端和域的组合，我们会收到以下错误消息： krb5_get_init_creds_password() failed: KRB5 error code 68 谷歌说这个错误： is being returned by Active Directory because your users are

我们的环境如下所示：

我们有一个相互信任的ActiveDirectory服务器森林
我们有一个带有mod_auth_kerb的Linux Apache，可以对“主”广告服务器进行身份验证

对于某些客户端和域的组合，我们会收到以下错误消息：

krb5_get_init_creds_password() failed: KRB5 error code 68

谷歌说这个错误：

is being returned by Active Directory because your users are
attempting to obtain a Kerberos TGT for a realm that
is not hosted on the server to which they are authenticating.

有办法解决这个问题吗？

您没有在krb5.conf中添加所有必要的领域/kdc。GSSAPI无法获取未知领域的票证。上述示例与我们的森林环境中的gssapi完美配合

为了简化配置工作，您可以将

krb5.conf

配置为查询DNS以查找KDC。这就是Windows所做的。

但我们的krb5配置中只有主广告，其他许多领域都是开箱即用的。我想不出他们之间有什么区别。另外，DNS查找对我来说是一件新鲜事-有什么好的介绍吗？分享你的

krb5.conf

和林中所有域的名称。你可能会混淆它们。有关

dns\u lookup\u kdc

的信息，请参阅手册页。这就是如何手动执行每个DNS的KDC查找：

host-tsrv\u kerberos.\u tcp.DnsDomainName

。看见