所以,在过去的一周里,我试图解决这个 kerberos 问题。
长话短说,我们有一个服务器,它可以识别传入用户的某些工作。最近,我们需要上传一些结果,所以现在委派了用户,以便它可以在另一台服务器上进行授权。问题是,第二天,登录后,服务器不能委托同一个用户。它在形成消息时失败并krb5_cc_notfound
出现错误。AP_REQ
如果我尝试遍历缓存,它会失败并krb5_cc_start_seq_get
出现同样的错误。
如果我尝试获取其他票证(在成功登录后的第二天),它将失败krb5_get_credentials
,并且在进一步尝试时(我猜缓存变得无效?如果此时它甚至是有效的)它无法解析默认主体。
缓存类型为 MSLSA。
每次都失败后,在事件日志中我可以看到一个 kerberos 警告,然后是一个错误。首先说“TGT 已过期,尝试更新但失败”,另一个是 KRB_AP_ERR_TKT_EXPIRED。
我们在房间里使用 kerberos 的经验很少,所以如果你能分享一些 - 那就太酷了。