问题描述
使用主体名称调用 kinit 以获取 kerberos 票证要求输入密码,即使我希望它使用我在 /etc/krb5.conf 中配置的客户端证书进行身份验证。强制它跳过密码并仅使用 AS REQ 中的客户端证书并进行 pki 身份验证以获取 kerberos 票证的方法是什么?我在 kclientcert2.pem 的 UPN 中有主体,其私钥是 kclientkey2.pem,由 kclientca.pem 颁发。我的 /root 文件夹中都有它们。然后我以主体名称作为参数调用 kinit。然后提示我输入密码。
我的 /etc/krb5.conf 领域配置如下所示。
[realms]
myrealm = {
kdc = <ldap server IP>:88
kdc_tcp_ports = 88
pkinit_eku_checking = kpServerAuth
pkinit_anchors = FILE:/root/kclientca.pem
pkinit_identities = FILE:/root/kclientcert2.pem,/root/kclientkey2.pem
}
现在我在一个 ubuntu 客户端中安装了 krb5-pkinit 包。在此之后,它没有在这里提示输入密码。但它给出了消息“kinit:获取初始凭据时 KDC 名称不匹配”。 tcpdump 显示了带有 AS-REP 的第二个 AS-REQ,代码为 11。 在运行 linux 的嵌入式客户端上,我无法像在 ubuntu 中那样安装软件包,所以我将 krb5 共享库(如 preauth/pkinit.so 和其他 s0)复制到 /usr/lib 路径,这是嵌入式客户端的标准路径,但是它仍然提示输入密码。 @@@https://stackoverflow.com/users/696632/michael-o,我们在另一个线程上断开了连接,您能否帮助理解为什么 ubuntu 上发生 kdc 名称不匹配以及我在嵌入式上缺少哪个库客户。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)