针对 ActiveDirectory 和多个领域使用 mod_auth_kerb 的 Kerberos 身份验证答案

【问题标题】：Kerberos authentication using mod_auth_kerb against ActiveDirectory and multiple Realms针对 ActiveDirectory 和多个领域使用 mod_auth_kerb 的 Kerberos 身份验证
【发布时间】：2011-05-23 16:07:48
【问题描述】：

我们的环境是这样的：

我们拥有大量相互信任的 ActiveDirectory 服务器。
我们有一个带有 mod_auth_kerb 的 Linux Apache，它针对“主”AD 服务器进行身份验证。

对于某些客户端和域的组合，我们会收到以下错误消息：

krb5_get_init_creds_password() failed: KRB5 error code 68

谷歌搜索显示此错误：

is being returned by Active Directory because your users are
attempting to obtain a Kerberos TGT for a realm that
is not hosted on the server to which they are authenticating.

有没有办法解决这个问题？

【问题讨论】：

标签： active-directory apache2 kerberos

【解决方案1】：

您错过了将所有必要的领域/KDC 添加到您的 krb5.conf 中。 GSSAPI 无法获取未知领域的票证。上面的示例在我们的森林环境中与 gssapi 完美配合。

为了简化配置工作，您可以配置您的krb5.conf 以查询 DNS 以查找 KDC。这就是 Windows 所做的。

【讨论】：

但是我们的 krb5 配置中只有主 AD，许多其他领域开箱即用。我无法弄清楚它们之间的区别是什么。另外，DNS 查找对我来说是新事物 - 有什么好的介绍吗？
分享您的krb5.conf 和林中所有域的名称。你可能会混淆它们。请参阅 this 手册页以获取 dns_lookup_kdc。这是您可以手动执行每个 DNS 的 KDC 查找的方法：host -t SRV _kerberos._tcp.DnsDomainName。见Microsoft's reference。