Solution 1 :
Votre nom de domaine est-il DS.DOMAIN.COM ou juste DOMAIN.COM ?
Dans vos domaines, vous devez les faire correspondre, donc en supposant que DS.DOMAIN.COM est votre domaine, vous devez changer :
[domain_realm]
.domain.com = DS.DOMAIN.COM
domain.com = DS.DOMAIN.COM
à
[domain_realm]
.ds.domain.com = DS.DOMAIN.COM
ds.domain.com = DS.DOMAIN.COM
Cependant, si votre domaine est vraiment DOMAIN.COM vous auriez besoin de changer votre krb5.conf pour qu'il ressemble à :
[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = ds.domain.com:88
#You can have more than one kds, just keep adding more kdc =
#entries
#kdc = dsN.domain.com:88
#Uncomment if you have a krb admin server
#admin_server = ds.domain.com:749
default_domain = domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
Et puis vous auriez kinit comme ceci :kinit [email protected]
Solution 2 :
En culminant dans le code source, il semble que cette erreur soit générée lorsque le processus de négociation reçoit une référence à un autre domaine et que ce domaine n'est pas "local", ou dans votre configuration krb5.conf.
00219 /*
00220 * If the backend returned a principal that is not in the local
00221 * realm, then we need to refer the client to that realm.
00222 */
00223 if (!is_local_principal(client.princ)) {
00224 /* Entry is a referral to another realm */
00225 status = "REFERRAL";
00226 errcode = KRB5KDC_ERR_WRONG_REALM;
00227 goto errout;
00228 } Qu'est-ce que cela pourrait être, je ne saurais vous le dire. Cela dépend probablement de votre environnement Active Directory et de la présence ou non de plusieurs domaines dans l'arborescence. Vous avez probablement besoin de plus d'alias domain_realm, mais nous ne pouvons pas dire exactement ce que c'est à partir d'ici.
Solution 3 :
J'ai eu le même message en utilisant le même krb5.conf que celui fourni par Zypher :
[libdefaults]
default = MYDOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYDOMAIN.COM = {
kdc = mydc.mydomain.com:88
admin_server = mydc.mydomain.com:749
default_domain = mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
(désolé, il semble que je n'arrive pas à mettre en forme correctement :/ )
Dans mon cas, je devais utiliser MYDOMAIN.LOCAL plutôt que MYDOMAIN.COM. Je ne sais pas si cela est dû à un paramètre d'authentification dans AD en général ou uniquement pour mon domaine AD. Mon domaine a 2 contrôleurs de domaine, l'un est W2k3 R2 et l'autre (celui spécifié comme mydc.mydomain.com dans krb5.conf) est W2k8 R2. "message
Solution 4 :
J'avais exactement la même chose et j'ai trouvé que la réponse était si simple après avoir corrigé ma configuration que j'avais toujours ceci. Merci à logicalfuzz sur linuxqustions.org.
kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials
kinit -V [email protected]
Authenticated to Kerberos v5
Les majuscules font toute la différence ici. Je sais que cela est montré dans des exemples, mais je voulais le souligner.