Solusi 1:
Apakah nama domain Anda DS.DOMAIN.COM atau cukup DOMAIN.COM ?
Di ranah Anda, Anda harus mencocokkannya, jadi dengan asumsi bahwa DS.DOMAIN.COM adalah domain Anda, Anda perlu mengubah:
[domain_realm]
.domain.com = DS.DOMAIN.COM
domain.com = DS.DOMAIN.COM
untuk
[domain_realm]
.ds.domain.com = DS.DOMAIN.COM
ds.domain.com = DS.DOMAIN.COM
Namun, jika domain Anda benar-benar DOMAIN.COM Anda perlu mengubah krb5.conf agar terlihat seperti:
[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = ds.domain.com:88
#You can have more than one kds, just keep adding more kdc =
#entries
#kdc = dsN.domain.com:88
#Uncomment if you have a krb admin server
#admin_server = ds.domain.com:749
default_domain = domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
Dan kemudian Anda akan kinit seperti ini:kinit [email protected]
Solusi 2:
Memuncak ke kode sumber, sepertinya kesalahan itu terjadi ketika proses negosiasi menerima rujukan ke domain lain dan domain itu bukan 'lokal', atau di konfigurasi krb5.conf Anda.
00219 /*
00220 * If the backend returned a principal that is not in the local
00221 * realm, then we need to refer the client to that realm.
00222 */
00223 if (!is_local_principal(client.princ)) {
00224 /* Entry is a referral to another realm */
00225 status = "REFERRAL";
00226 errcode = KRB5KDC_ERR_WRONG_REALM;
00227 goto errout;
00228 } Apa itu, saya tidak bisa memberi tahu Anda. Itu mungkin tergantung pada lingkungan Direktori Aktif Anda, dan apakah ada atau tidak ada beberapa domain di pohon. Anda mungkin membutuhkan lebih banyak alias domain_realm, tetapi persisnya kami tidak dapat mengetahuinya dari sini.
Solusi 3:
Saya mendapat pesan yang sama menggunakan krb5.conf yang sama seperti yang disediakan oleh Zypher:
[libdefaults]
default = MYDOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYDOMAIN.COM = {
kdc = mydc.mydomain.com:88
admin_server = mydc.mydomain.com:749
default_domain = mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
(maaf sepertinya saya tidak bisa memformat dengan benar :/ )
Dalam kasus saya, saya perlu kinit ke MYDOMAIN.LOCAL daripada MYDOMAIN.COM.Tidak yakin apakah ini karena pengaturan otentikasi di AD secara umum atau hanya untuk domain AD saya. Domain saya memiliki 2 DC, satu adalah W2k3 R2 dan yang lainnya (yang ditentukan sebagai mydc.mydomain.com di krb5.conf) adalah W2k8 R2. Tapi ini adalah kemungkinan penyebab lain untuk "Realm not local to KDC sambil mendapatkan kredensial awal " pesan
Solusi 4:
Saya memiliki yang sama dan menemukan jawabannya sangat sederhana setelah memperbaiki konfigurasi saya, saya masih memiliki ini. Berkat logicalfuzz di linuxqustions.org.
kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials
kinit -V [email protected]
Authenticated to Kerberos v5
Ibukota membuat semua perbedaan di sini. Saya tahu ini ditunjukkan dalam contoh tetapi saya ingin menekankannya.