O Kinit não se conecta a um servidor de domínio: Realm não é local para o KDC enquanto obtém credenciais iniciais

Seu nome de domínio é DS.DOMAIN.COM ou apenas DOMAIN.COM ?

Em seus reinos, é necessário que eles correspondam, portanto, supondo que DS.DOMAIN.COM seja seu domínio, você precisa alterar:

[domain_realm]
    .domain.com = DS.DOMAIN.COM
    domain.com = DS.DOMAIN.COM

para

[domain_realm]
    .ds.domain.com = DS.DOMAIN.COM
    ds.domain.com = DS.DOMAIN.COM

No entanto, se o seu domínio for realmente DOMAIN.COM você precisaria mudar o seu krb5.conf para se parecer com:

[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
    DOMAIN.COM = {
        kdc = ds.domain.com:88
        #You can have more than one kds, just keep adding more kdc =
        #entries
        #kdc = dsN.domain.com:88
        #Uncomment if you have a krb admin server
        #admin_server = ds.domain.com:749
        default_domain = domain.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

E então você kinit gostou: kinit [email protected]

Chegando ao código-fonte, parece que o erro é lançado quando o processo de negociação recebe uma referência para outro domínio e esse domínio não é 'local' ou na sua configuração do krb5.conf.

00219     /*
00220      * If the backend returned a principal that is not in the local
00221      * realm, then we need to refer the client to that realm.
00222      */
00223     if (!is_local_principal(client.princ)) {
00224       /* Entry is a referral to another realm */
00225       status = "REFERRAL";
00226       errcode = KRB5KDC_ERR_WRONG_REALM;
00227       goto errout;
00228     }

O que poderia ser, eu não poderia te dizer. Isso provavelmente depende do seu ambiente do Active Directory e se existem ou não vários domínios na árvore. Você provavelmente precisa de mais aliases de domain_realm, mas exatamente o que é que não podemos dizer daqui.

Eu tive a mesma mensagem usando o mesmo krb5.conf conforme fornecido pelo Zypher:

[libdefaults]
   default = MYDOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true

[realms]
MYDOMAIN.COM = {
   kdc = mydc.mydomain.com:88
   admin_server = mydc.mydomain.com:749
   default_domain = mydomain.com
}

[domain_realm]
   .mydomain.com = MYDOMAIN.COM
   mydomain.com = MYDOMAIN.COM

(desculpe, parece que não consigo obter formatação adequada: /)

No meu caso, eu precisava fazer o KinDOMAIN.LOCAL e não o MYDOMAIN.COM. Não tenho certeza se isso é devido a uma configuração de autenticação no AD em geral ou apenas no meu domínio do AD. Meu domínio tem 2 CDs, um é W2k3 R2 e o outro (aquele especificado como mydc.mydomain.com em krb5.conf) é W2k8 R2. Mas essa é outra causa possível para a mensagem "Domínio não local para o KDC ao obter as credenciais iniciais"

Eu tive isto mesmo e achei a resposta tão simples depois de consertar minha configuração eu ainda tinha isso. Graças ao lógicofuzz em linuxqustions.org.

kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials

kinit -V [email protected]
Authenticated to Kerberos v5

As capitais fazem toda a diferença aqui. Eu sei que isso é mostrado nos exemplos, mas eu queria enfatizar isso.

Recebi esse erro ao tentar conectar essa máquina de um domínio a um domínio diferente. A edição do /etc/krb5.conf também não funcionou. Então eu tentei o seguinte comando para reconfigurar coisas para diferentes domínios

# sudo dpkg-reconfigure -plow krb5-config

com opções e configurações desejadas que pararam de fornecer o erro acima no comando kinit. Resolvido.

mal adicionar isso só porque eu acabei aqui para o mesmo erro, mas encontrei outra correção para mais um problema ... verifique se o domínio está em todas as CAPS: [email protected] e não my.user @ domain.local ... acabei de perder 2 horas da minha vida por causa desta ...

Sei que essa é uma pergunta antiga, mas desejo adicionar, para futuros solucionadores de problemas, que minha resolução para esse problema seja uma combinação de todas as respostas sugeridas, além de adicionar meu controlador de domínio primário ao meu /etc/hosts

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_kdc = true
dns_lookup_realm = true
ticket_lifetime = 24h
#default_keytab_name = /etc/squid3/PROXY.keytab

; for Windows 2003
; default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
DOMAIN.LOCAL = {
kdc = dc.domain.local
admin_server = dc.domain.local
default_domain = domain.local
kpasswd_server = dc.domain.local
}

[domain_realm]
.DOMAIN.LOCAL = DOMAIN.LOCAL
DOMAIN.LOCAL = DOMAIN.LOCAL

mantenha um registro