Depurando AD / Kerberos Centrify é sempre irritante.
Você pode tentar ativar a depuração do Centrify no seu servidor com /usr/share/centrifydc/bin/addebug on
. Esteja ciente de que isso pode criar arquivos de log muito grandes e, potencialmente, levar a volumes completos, se deixado ativado por muito tempo.
Verifique os SPN's e os KVNO's
Obtenha uma lista de princípios e KVNOs do keytab local no seu servidor. Isso pode exigir que o pacote RPM de utilitários do cliente Kerberos esteja instalado em um servidor Linux (yum install krb5-workstation).
klist -kte
Compare isso com o Kerberos KVNO conforme determinado pelo seu AD. De outro sistema Centrify enebales Linux: (Requer sessão de login ativa do Kerberos iniciada com “kinit”, verifique com klist
se você tiver um ticket de concessão de ticket do kerberos válido) Melhor usar o de outro host que aquele com problemas. o diretor principal.
kvno host/hostname
kvno host/hostname.domain.name
Se os dois comandos acima retornarem diferentes KVNOs, então encontrados com klist para o mesmo princípio, então, tipicamente, o arquivo keytab local no servidor UNIX requer um reset. A redefinição do keytab local quando ele não está em sincronia com o KDC no AD é feito a partir da linha de comando do host em questão e requer privilégios de root.
adkeytab -r -u <username>
ou use as credenciais da conta do computador local em vez do usuário AD privilegiado acima
adkeytab -r -m