active-directory - kinit(v5):在获取初始凭据时在Kerberos数据库中找不到客户端

我正在按照Obiee 11.1.1.7.14配置SSO，在此步骤中，我在配置krb5.conf和执行kinit命令时面临问题。

有关Active Directory的一些注意事项

我们具有多个域控制器，并且为了平衡请求，我们正在使用端口3269维护负载平衡器。

并且obiee和MSAD之间的集成已成功完成，负载均衡器名称为host，端口为3269。

和少量证书已添加到demotrust.jks和ovd存储中，并且在新提供程序中启用了SSL。

生成了

Keytab文件并将其放置在obiee域主目录中，相应地修改了krb5.conf和krb5Login.conf文件。

我创建了keytab文件并将其放在obiee域主页中，然后通过将kdc保留为域控制器的ip地址之一并将admin-server保留为域控制器的名称来修改krb5.conf。在执行
kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name
我遇到了错误“ kinit(v5):在获取初始凭证的同时未在Kerberos数据库中找到客户端”。请分享您的想法/建议以解决此问题。

提前致谢

最佳答案

感谢Michael-O的回复。

在寻求解决方案之前，我想发布一些有关Active Directory服务器类型以及我们连接方式的信息。

我们有一台Active Directory服务器，其中使用了2个域控制器。带有端口3269的负载平衡器用于从OBIEE连接到Active Directory，并且可以在krb5.conf中和需要使用的地方使用类似的连接。
并将基本域视为DOM1，并且我们所有的组都在子域SUBDOM下创建。因此，将SPN设置在SUBDOM.DOM1.COM上。

这是我们遵循的将AD与OBIEE集成并解决大多数kinit问题的一些建议

不用用abosoute路径指定主角名称，只需用accout_name @ FullyQualifiedDomainName提及即可。

KRB5.conf中的更改

a)由于在创建密钥表和设置SPN时将属性“crypto”指定为“所有”，因此密钥表文件中存在的所有加密类型都将在krb5.conf中提及(default_tkt_enctypes和default_tgs_enctypes)。

b)在[领域]部分中包含了属性kdc的主域控制器ip地址，该地址与第2点中指定的Michael-O相同。

c)在krb5.conf的[domain_realm]中保持为.subdom.dom1.com = DOM1.COM。

d)在krb5.conf

的[realms]部分的admin_server属性中包含负载均衡器名称的主机名

完成上述所有更改后，将解决大多数kinit问题，并通过在所需目录中创建初始票据来成功执行kinit命令。

谢谢。

关于active-directory - kinit(v5):在获取初始凭据时在Kerberos数据库中找不到客户端，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/26257014/