Не удается найти KDC для области во время инициализации интерфейса kadmin

Question

С учетом следующего krb5.config (где FOOBAR.COM - подготовленная строка)

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = FOOBAR.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[domain_realm]
#Been messing around with this part
FOOBAR.COM = FOOBAR.COM
.FOOBAR.COM = FOOBAR.COM


[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  FOOBAR.COM = {
    admin_server = my_admin_server_hostname
    kdc = my_kdc_hostname
  }

Вызов kadmin с моим именем области и другими параметрами не работает.Он не может найти kdc.

[kdc machine] kadmin -s localhost -p admin/admin@foobar.com -r FOOBAR.COM -q "get_principal admin/admin@foobar.com"
    Authenticating as principal admin/admin@foobar.com with password.
    kadmin: Cannot find KDC for realm "foobar.com" while initializing kadmin interface

Однако доступ к kadmin сначала работает (может быть, потому что он обращается к kadmin.local?)

[kdc machine]# kadmin
Authenticating as principal admin/admin@FOOBAR.COM with password.
Password for admin/admin@FOOBAR.COM:
kadmin:  get_principal admin/admin@foobar.com
get_principal: Principal does not exist while retrieving "admin/admin@foobar.com".

И как ни странно, опускание основного флага тоже работает нормально

[kdc machine]# kadmin -s localhost -r FOOBAR.COM -q "get_principal admin/admin@foobar.com"
Authenticating as principal admin/admin@FOOBAR.COM with password.
Password for admin/admin@FOOBAR.COM:
get_principal: Principal does not exist while retrieving "admin/admin@foobar.com".

Я предполагаю, что это из-за некоторой проблемы с DNS, так как моя строка области FOOBAR.COM является вымышленным адресом.Я редактировал мой файл krb5.conf и hosts, пытаясь решить эту проблему, но без особого успеха.Использование фактического полного доменного имени вместо случайной строки в качестве имени области не допускается.Я не понимаю, почему исключение -p привело бы к другому результату ...

У кого-нибудь есть идеи о том, как заставить первый запрос работать?

Answer 1

Хорошо, похоже, проблема была в том, что указали принципал -p

Это не удалось: -p admin/admin@holograph.tor.indexww.com

Это успешно: -p admin / admin

Kadmin, по-видимому, автоматически добавляет имя области после принципала и терпит неудачу при этом, не имеет ничего общего с «не обнаружением сервера KDC».