如何禁用Kereberos预认证？

Question

我看到了这条错误信息：

NEEDED_PREAUTH: admin@THIS.LAN for for kadmin/admin@THIS.LAN, Additional pre-authentication required

如何禁用Kerberos预认证？服务器和客户端不能访问端口123 (即NTP )上的UDP，我不能更改它--这对于同步Kerberos所要求的时间非常重要。

按照下面的答案启发的参考文献，答案是在kadmin中使用modify_principal *user* -requires_preauth。

Answer 1

根据输出的kadmin/admin部分，我将假设您正在尝试运行kadmin。

如果不输入密码，就不可能运行kadmin。尽管可以在requires_preauth中使用modprinc命令禁用kadmin属性，但kadmin本身并不支持该属性，并且始终需要身份验证。

如果您需要能够在不输入密码的情况下运行一些kadmin命令(例如，在脚本或其他方面)，请使用kadmin.local。不过，这只能作为主KDC的根。