【发布时间】:2022-04-05 01:55:28
【问题描述】:
所以,在过去的一周里,我试图解决这个 kerberos 问题。
长话短说,我们有一个服务器,它可以识别传入用户的某些工作。最近,我们需要上传一些结果,所以现在委派了用户,以便它可以在另一台服务器上进行授权。问题是,第二天,登录后,服务器不能委托同一个用户。它在形成AP_REQ 消息时失败并出现krb5_cc_notfound 错误。
如果我尝试遍历缓存,它会在 krb5_cc_start_seq_get 处失败并出现同样的错误。
如果我尝试获取其他票证(在成功登录后的第二天),它将在 krb5_get_credentials 失败,并且在进一步尝试时(我猜缓存变得无效?如果此时它甚至是有效的)它无法解决默认主体。
缓存类型为 MSLSA。
每次都失败后,在事件日志中我可以看到一个 kerberos 警告,然后是一个错误。第一个是“TGT 已过期,尝试更新但失败”,另一个是 KRB_AP_ERR_TKT_EXPIRED。
在我们的房间里,我们很少有使用 kerberos 的经验,所以如果你能分享一些 - 那就太棒了。
【问题讨论】:
标签: kerberos impersonation delegation kerberos-delegation mit-kerberos