初始化kadmin接口时无法找到领域的KDC

Question

给定以下krb5.config (其中FOOBAR.COM是一个虚构的字符串)

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = FOOBAR.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[domain_realm]
#Been messing around with this part
FOOBAR.COM = FOOBAR.COM
.FOOBAR.COM = FOOBAR.COM


[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  FOOBAR.COM = {
    admin_server = my_admin_server_hostname
    kdc = my_kdc_hostname
  }

用我的域名和其他参数调用kadmin不起作用。它找不到kdc。

[kdc machine] kadmin -s localhost -p admin/admin@foobar.com -r FOOBAR.COM -q "get_principal admin/admin@foobar.com"
    Authenticating as principal admin/admin@foobar.com with password.
    kadmin: Cannot find KDC for realm "foobar.com" while initializing kadmin interface

但是，首先访问kadmin是有效的(可能是因为它访问kadmin.local?)

[kdc machine]# kadmin
Authenticating as principal admin/admin@FOOBAR.COM with password.
Password for admin/admin@FOOBAR.COM:
kadmin:  get_principal admin/admin@foobar.com
get_principal: Principal does not exist while retrieving "admin/admin@foobar.com".

奇怪的是，省略主旗子也没问题。

[kdc machine]# kadmin -s localhost -r FOOBAR.COM -q "get_principal admin/admin@foobar.com"
Authenticating as principal admin/admin@FOOBAR.COM with password.
Password for admin/admin@FOOBAR.COM:
get_principal: Principal does not exist while retrieving "admin/admin@foobar.com".

我假设这是因为DNS问题，因为我的领域字符串FOOBAR.COM是一个虚构的地址。我一直在编辑我的krb5.conf和主机文件，试图解决这个问题，但没有成功。使用实际的FQDN而不是随机字符串作为领域名称不是选项。我不明白为什么忽略-p会导致不同的结果.

是否有人对如何仍然使第一个查询工作有想法？

Answer 1

好吧，看来问题是如何指定主体-p

此操作失败：-p admin/admin@holograph.tor.indexww.com。

这是成功的：-p管理/管理

Kadmin显然会在主体之后自动添加领域名称，但在这一点上失败了，这与“找不到KDC服务器”一点关系都没有。