我正在尝试通过 AWX 中的 kerberos 进行身份验证。我在 Azure Kubernetes 服务中托管 AWX。我们使用的 KDC 是 ldap。从容器本身执行时，我可以通过 ping 和 telnet 通过端口 88 与 ldap 服务器通信。我不确定我还能做些什么来测试它并且日志文件是空的。

我已将 krb5.conf 文件和 krb5.keytab 文件添加到 Task/Web 容器中。我尝试过使用和不使用 keytab。我尝试将缓存更改为文件而不是密钥环。

无论我尝试什么配置，我都会遇到同样的错误。好奇我做错了什么。我可以通过在 Docker 中本地运行 AWX 的 VM 上的工作 kerberos 配置来实现它，但是，我无法让它在 AKS 中工作。不确定这是特定的 AKS 还是一般的 Kubernetes。

错误：

kinit：在获取初始凭据时无法联系领域“MYDOMAIN.COM”的任何 KDC

我已经安装了 MITKDC。我正在使用来自 Ambari 的现有 MIT KDC 启用 Kerberos。在创建主体时，我遇到了错误。

无法创建主体 trinitylocal-071819@HUB.LOCAL - 无法为 trinitylocal-071819@HUB.LOCAL 创建服务主体 STDOUT：使用现有凭据作为主体 admin/admin@HUB.LOCAL 进行身份验证。

我可以使用 kadmin.local.below 命令创建主体，也可以使用。我也可以登录 Kinit admin/admin。

Klist命令我试过了，我可以登录了。下面是我的krb5.conf和kdc.conf。

下面是我的 krb5.conf

下面是我的 kdc.conf

我有一个 5 节点 Hadoop 集群（Hortonworks）。我正在使用 MIT KDC 和 Ambari 进行 kerborized 身份验证。在我的每个节点中，我的主机名都像 xxx.trinityiot.cloud。这里我的疑问是我需要在每个节点或 Ambari 服务器节点操作系统中安装 MIT KDC 就足够了。

我们正在尝试配置具有多个域的单个 kerberos 服务器（这是必需的），所以我最终创建了 2 个这样的数据库和每个数据库中的一些主体（一切都很好，我可以登录到两个数据库并查看不同的主体） ：

kdc.conf

krb5.conf 看起来像这样：

现在的问题是，kerberos 似乎不接受具有不同领域的 kdc，例如 example2（但它适用于 example1）：

在修改建议grawity之后，我用 systemctl edit --full krb5kdc.service 编辑了服务文件并放在最后 -r EXAMPLE1 -r EXAMPLE2 现在它似乎工作得更好但我仍然收到一个我无法理解的错误（不确定如果我应该添加不同的端口或正在发生的事情）：

实际上我没有读到关于它需要不同端口的东西，所以我修改了它以使用 61321 但它没有在该端口上推任何套接字，它只是推我假设是第一个的默认端口 88（和默认）领域：{kdc= server.example2.com:61321 admin_server = server.example2.com:61321

root@example1.com:/root# netstat -netapl | 听听 | grep krb tcp 0 0 0.0.0.0:88 0.0.0.0:* LISTEN 0 9326395 362136/krb5kdc tcp6 0 0 :::88 :::* LISTEN 0 9326396 362136/krb5kdc root@example1.com:/root# ps -ef | grep -i krb 根 362136 1 0 13:04？00:00:00 /usr/sbin/krb5kdc -P /var/run/krb5kdc.pid -r EXAMPLE1.COM -r EXAMPLE2.COM root 363981 331025 0 13:08 pts/0 00:00:00 grep --color =自动 -i krb

我有一个问题，为什么我的 cloudera 节点每次重新启动都会替换文件 /etc/krb5.conf ata ？我试图进行修改，当有人重新启动时，文件再次被旧的配置文件替换

我正在使用托管在IIS上的ASP.NET Core构建Web API，它将充当集成一些服务的代理。我需要将用户凭据/身份转发到由我的 API 管理的特定服务，为此我想在Kerberos中启用票证转发。

我需要采取哪些步骤才能使其发挥作用？

首先，我需要将我的服务设置为在KDC中受信任，然后它将接收可转发的票证而不是常规票证（我需要我的 API 可以将票证转发到的特定服务），对吗？

然后我如何将该票转发给其他服务使用HttpClient？将收到的令牌附加到请求就足够了吗？

我列出的步骤是否正确，还有什么要做的吗？

谢谢大家的帮助。

我安装了带有 kdc 服务器和客户端的 kerberos。它们都可以工作，我可以通过 kinit 毫无问题地生成票证。但是，我不能通过 MIT Kerberos API 做到这一点。我有以下代码，它应该使用 kdc 生成一张票：

当代码到达“krb5_mk_req”函数时，它会失败并出现错误：“在 Kerberos 数据库中找不到服务器”。我尝试了许多与服务+主机的组合，但没有一个有效。在 kinit 中，我可以使用“kinit -S krbtgt@DOMAIN.COM”生成有效票证。我错过了什么？ （DOMAIN.COM 不是我的真实域名）

非常感谢！

我按照以下文档为我的服务提供商设置了 IWA： https ://is.docs.wso2.com/en/5.9.0/learn/configuring-iwa-on-linux/ https://medium.com/@ farasath/集成-windows-authentication-with-kerberos-and-wso2-identity-server-ffcd8263a0f1

但是，在提交登录请求后，我收到 HTTP 500 错误。为什么我会面临这个问题？注意：相同的 IWA 配置适用于旧版本，即 WSO2 Identity-Server(wso2is-km-5.7.0)

我有一个关于从 TGS-REP 验证 KDC 的问题。

我有一个用 C++ 编写的遗留测试工具，用于验证用户的 AD 凭据。此测试工具调用 krb5 库方法来执行身份验证并在客户端（Linux 机器）上运行。我可以在数据包捕获中看到测试工具正在验证来自 AS-REP 的用户。

客户端上的测试工具 <-------> AD 服务器

---------- AS-REQ------>

<------------- AS-REP------</p>

（用户现在将被验证）

测试工具正在验证来自 AS-REP 的用户。

它不是发送/接收 TGS-REQ/TGS-REP。***我从 TGS-REP 了解到，我们也可以验证 KDC。*** 因此，我扩展了该工具以执行以下操作：

客户端上的测试工具 <-------> AD 服务器

....... 我的测试工具将通过将 KDC 的密钥与预配置的密钥表进行比较来验证 KDC。我为上述 SPN 创建了一个密钥表。

问：从一些在线阅读材料中，我了解到这可以通过将 KDC 的密钥与预配置的密钥表文件进行比较来完成。我确信我没有完全明白这一点。请帮助我理解这部分。为什么我们不能从 AS-REP 获得此验证？

我正在使用带有 Kerberos 的 Java GSS-API 进行安全身份验证。我实现了示例服务器和示例客户端程序，客户端能够成功地验证并从服务器获取服务。对于这些示例程序，我通过 Java 系统属性 (java.security.krb5.kdc) 传递了 KDC 地址。现在的问题是我想从单个客户端程序连接到两个不同的 KDC 服务器以访问多个服务。通过系统属性，我们只能传递一个 KDC 服务器地址。如何从单个客户端程序连接到多个 KDC 服务器？