Solución:
Solución 1:
Es tu nombre de dominio DS.DOMAIN.COM o solo DOMAIN.COM ?
En sus dominios, debe hacer que coincidan, por lo que, asumiendo que DS.DOMAIN.COM es su dominio, debe cambiar:
[domain_realm]
.domain.com = DS.DOMAIN.COM
domain.com = DS.DOMAIN.COM
para
[domain_realm]
.ds.domain.com = DS.DOMAIN.COM
ds.domain.com = DS.DOMAIN.COM
Sin embargo, si su dominio es realmente DOMAIN.COM necesitaría cambiar su krb5.conf para que se vea así:
[libdefaults]
default = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = ds.domain.com:88
#You can have more than one kds, just keep adding more kdc =
#entries
#kdc = dsN.domain.com:88
#Uncomment if you have a krb admin server
#admin_server = ds.domain.com:749
default_domain = domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
Y luego lo harías kinit al igual que: kinit [email protected]
Solucion 2:
Al llegar al código fuente, parece que se produce un error cuando el proceso de negociación recibe una referencia a otro dominio y ese dominio no es ‘local’, o en su configuración krb5.conf.
00219 /*
00220 * If the backend returned a principal that is not in the local
00221 * realm, then we need to refer the client to that realm.
00222 */
00223 if (!is_local_principal(client.princ)) {
00224 /* Entry is a referral to another realm */
00225 status = "REFERRAL";
00226 errcode = KRB5KDC_ERR_WRONG_REALM;
00227 goto errout;
00228 }
Lo que podría ser, no podría decirte. Eso probablemente depende de su entorno de Active Directory y de si hay o no varios dominios en el árbol. Probablemente necesite más alias domain_realm, pero no podemos saber exactamente qué es eso desde aquí.
Solución 3:
Recibí el mismo mensaje usando el mismo krb5.conf proporcionado por Zypher:
[libdefaults]
default = MYDOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYDOMAIN.COM = {
kdc = mydc.mydomain.com:88
admin_server = mydc.mydomain.com:749
default_domain = mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
(lo siento, parece que no puedo obtener el formato adecuado: /)
En mi caso, necesitaba ingresar a MYDOMAIN.LOCAL en lugar de MYDOMAIN.COM. No estoy seguro si esto se debe a una configuración de autenticación en AD en general o solo para mi dominio de AD. Mi dominio tiene 2 DC, uno es W2k3 R2 y el otro (el especificado como mydc.mydomain.com en krb5.conf) es W2k8 R2. Pero esta es otra posible causa del mensaje “El reino no es local para KDC mientras se obtienen las credenciales iniciales”.
Solución 4:
Tenía esto mismo y descubrí que la respuesta era tan simple después de arreglar mi configuración que todavía tenía esto. Gracias a logicfuzz en linuxqustions.org.
kinit -V [email protected]
kinit: KDC reply did not match expectations while getting initial credentials
kinit -V [email protected]
Authenticated to Kerberos v5
Las capitales marcan la diferencia aquí. Sé que esto se muestra en ejemplos, pero quería enfatizarlo.