密钥表验证失败

Question

我正在尝试验证密钥表文件。我收到以下错误消息

kinit: Keytab contains no suitable keys for HTTP/HTTP/xxxx.abc.com@abc.com while getting initial credentials

启用跟踪后我收到以下消息

#KRB5_TRACE=/dev/stdout kinit -k -t xxx.keytab HTTP/xxxx.abc.com@abc.com
Using default cache: /tmp/krb5cc_1001
Using principal: HTTP/xxxx.abc.com@abc.com
Using keytab: xxx.keytab
[20299] 1557905070.909564: Getting initial credentials for HTTP/xxxx.abc.com@abc.com
[20299] 1557905070.909565: Looked up etypes in keytab: (empty)
[20299] 1557905070.909566: Getting initial credentials for HTTP/xxxx.abc.com@abc.com
[20299] 1557905070.909567: Looked up etypes in keytab: (empty)
kinit: Keytab contains no suitable keys for HTTP/HTTP/xxxx.abc.com@abc.com while getting initial credentials

知道为什么我得到的 etypes 列表是空的。我使用 -crypto ALL 选项创建了密钥表文件。

非常感谢对此问题的任何帮助

Answer 1

我认为这个问题是在您创建密钥表时发生的。我指导一位使用 ktutil 创建密钥表的同事，但 KDC 是 Active Directory。要在 AD 中创建密钥表，他必须使用 ktpass 命令。

希望这对您有所帮助。

此致

Answer 2

问题是当我使用 ktpass 命令创建 keytab 文件时，里面添加的主体使用小写字母 HTTP/xxxx.abc.com@abc.com 的域名。我纠正了这个问题，方法是使用 ktutil 命令在 linux 服务器上创建一个 keytab 文件，并使用 addentry 手动输入 HTTP/xxxx.abc.com@ABC.COM 添加带有大写字母领域名称的主体.它对我有用