Kerberos/LDAP登录失败-删除Preauth？

Question

使用带有Kerberos/LDAP客户端的Debian系统-在KDE上登录失败，因为没有创建用户目录。SSH是成功的(没有创建目录)；但是，桌面登录没有成功。

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022

到/etc/pam.d/common-session，但没有成功。在Kerberos/LDAP服务器上的/var/log/auth.log中，我看到：

NEEDED_PREAUTH: user@MY.LAN for krbtgt/MY.LAN@MY.LAN, Additional pre-authentication required

少了什么？我还有其他客户在工作。我不知道有什么区别。

Answer 1

这里的失败是时间同步问题。如果时间结束，Kerberos将生成Preauth错误(这里是这样的情况)。部分问题是NTP端口被封锁到外部世界。

解决方案是手动同步Kerberos主机的时间：

ntpdate -bs 10.x.x.x #无论本地NTP服务器的地址是什么