active-directory - kinit(v5) : Client not found in Kerberos database while getting initial credentials

Question

我正在 obiee 11.1.1.7.14 中配置 SSO，其中我在配置 krb5.conf 和执行 kinit 命令的步骤中遇到了问题。

关于 Active Directory 的一些注意事项

我们有多个域 Controller ，为了平衡请求，我们维护了端口 3269 的负载平衡器。

obiee 和 MSAD 的集成成功完成，负载均衡器名称为主机，端口为 3269。

并且在 demotrust.jks 和 ovd 存储中添加了很少的证书，并且在新的提供程序中启用了 SSL。

生成的keytab 文件放在obiee 域home 中，相应修改krb5.conf 和krb5Login.conf 文件。

我已经创建了 keytab 文件并将其放置在 obiee 域主目录中，然后通过将 kdc 作为域 Controller 的 ip 地址之一和 admin-server 作为域 Controller 的名称来修改 krb5.conf。并在执行
kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name
我有错误“ kinit(v5): Client not found in Kerberos database while getting initial credentials ”。请分享您的想法/建议以解决此问题。

提前致谢

Answer 1

感谢 Michael-O 的回复。

在讨论解决方案之前，我想发布一些有关 Active Directory 服务器类型和我们连接方式的信息。

我们有一个 Active Directory 服务器，其中使用了 2 个域 Controller 。带有端口 3269 的负载平衡器用于从 OBIEE 连接到事件目录，并且可以在 krb5.conf 中以及需要的地方使用类似的连接。
并将基本域视为 DOM1，我们所有的组都在子域 SUBDOM 下创建。所以 SPN 设置在 SUBDOM.DOM1.COM。

以下是我们为将 AD 与 OBIEE 集成并解决了大部分 kinit 问题而遵循的一些建议

无需使用绝对路径指定主体名称，只需使用 accout_name@FullyQualifiedDomainName 提及即可。

KRB5.conf 中的更改

a) 由于在创建 keytab 和设置 SPN 时将属性“crypto”指定为“all”，因此 krb5.conf 中提到的 keytab 文件中存在的所有加密类型(default_tkt_enctypes 和 default_tgs_enctypes)。

b) 在 [realms] 部分中包含了属性 kdc 的主域 Controller IP 地址，这将与第 2 点中指定的 Michael-O 相同。

c) 在 krb5.conf 的 [domain_realm] 中保持为 .subdom.dom1.com=DOM1.COM。

d) 在 krb5.conf 的 [realms] 部分的 admin_server 属性中包含负载均衡器名称的主机名

完成上述所有更改后，大多数 kinit 问题将得到解决，并且 kinit 命令将通过在所需目录中创建初始票证成功执行。

谢谢。