如何解决尽管 pki 配置,kinit 要求输入密码
使用主体名称调用 kinit 以获取 kerberos 票证要求输入密码,即使我希望它使用我在 /etc/krb5.conf 中配置的客户端证书进行身份验证。强制它跳过密码并仅使用 AS REQ 中的客户端证书并进行 pki 身份验证以获取 kerberos 票证的方法是什么?我在 kclientcert2.pem 的 UPN 中有主体,其私钥是 kclientkey2.pem,由 kclientca.pem 颁发。我的 /root 文件夹中都有它们。然后我以主体名称作为参数调用 kinit。然后提示我输入密码。
我的 /etc/krb5.conf 领域配置如下所示。
[realms]
myrealm = {
kdc = <ldap server IP>:88
kdc_tcp_ports = 88
pkinit_eku_checking = kpServerAuth
pkinit_anchors = FILE:/root/kclientca.pem
pkinit_identities = FILE:/root/kclientcert2.pem,/root/kclientkey2.pem
}
现在我在一个 ubuntu 客户端中安装了 krb5-pkinit 包。在此之后,它没有在这里提示输入密码。但它给出了消息“kinit:获取初始凭据时 KDC 名称不匹配”。 tcpdump 显示了带有 AS-REP 的第二个 AS-REQ,代码为 11。 在运行 linux 的嵌入式客户端上,我无法像在 ubuntu 中那样安装软件包,所以我将 krb5 共享库(如 preauth/pkinit.so 和其他 s0)复制到 /usr/lib 路径,这是嵌入式客户端的标准路径,但是它仍然提示输入密码。 @@@https://stackoverflow.com/users/696632/michael-o,我们在另一个线程上断开了连接,您能否帮助理解为什么 ubuntu 上发生 kdc 名称不匹配以及我在嵌入式上缺少哪个库客户。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。