Na saída de amostra, vejo que você tem uma chave para um debian-squeeze
- um nome de host sem pontos nele. Isso prova que você configurou sua resolução inversa para apontar para o nome abreviado. Esse é realmente um nome não-FQDN que você vê ou foi editado para a pergunta?
O Kerberos deve funcionar com qualquer um deles, mas você pode verificar novamente se o host em si acha que ele é chamado de debian-squeeze
. Verifique se o encaminhamento - > A pesquisa inversa dentro de debian-squeeze
realmente resolve para debian-squeeze
:
$ getent hosts $(hostname) | awk '{print $1; exit}' | xargs getent hosts | awk '{print $2}'
Eu realmente não ouvi falar do Kerberos sendo implantado com nomes curtos, então se você tiver uma escolha, pode ser uma boa idéia ficar com os FQDNs.
Atualização:
O cliente está recebendo atualmente uma chave para o nome abreviado, mas o servidor acha que ele está corretamente nomeado com um nome longo. Muito provavelmente, o problema está lá. Só para ter certeza, tente o seguinte:
-
Verifique a pesquisa de nome de encaminhamento / retorno do cliente. Ou seja,
$ getent hosts debian-squeeze | awk '{print $1; exit}' | xargs getent hosts | awk '{print $2}'
O nome retornado é aquele para o qual o cliente tentará obter um ticket. A julgar pela sua saída, este é provavelmente o nome curto.
-
Verifique quais chaves estão presentes no servidor.
$ sudo klist -k /etc/krb5.keytab Keytab name: WRFILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 host/debian-squeeze.realm@REALM 1 host/debian-squeeze.realm@REALM 1 host/debian-squeeze.realm@REALM 1 host/debian-squeeze.realm@REALM ...
Na lista, você deve ver um principal correspondente ao nome do host do comando anterior. Se não está lá, então esse é o seu problema. Se está aí ...
-
Verifique se a versão da chave no servidor kerberos é a mesma que a do
debian-squeeze
. No cliente, obtenha uma chave explicitamente e verifique a versão "KVNO" no final da linha:$ kvno host/debian-squeeze.realm host/debian-squeeze.realm@REALM: kvno = 1
De qualquer forma, o nome do host e a versão "kvno" em todos esses comandos devem corresponder.