在发布此问题之前,我进行了广泛的搜索。
我们的内部门户网站的大多数用户都可以使用Curb设置。对于少数用户,我们收到以下错误:
"无法代表创建委派的GSSAPI令牌 HTTP /ssologon.xxx.xxx.xx.com@XXX.XXX.XX.COM for service@hostname.xxx.xxx.xx.com:次要状态= -1765328230,主要 状态= 851968,消息=找不到请求领域的KDC]"
我可以使用Kinit使用Keytab文件等从服务器端测试curb setup。
问题/问题是如何从出现上述错误的工作站/客户端PC进行测试。
我可以使用kinit或kinit主要名称但它会提示输入密码。但我们已禁用密码验证并使用X509证书/访问卡登录我们的PC /域。
那么,我们如何使用Kinit或者等价物。从域工作站测试kerberos 使用CLI和证书身份验证。
我已经看过kinit -X选项,但它似乎在Win 7中的JDK1.7 / 1.8上不可用。 pkinit(MIT Kerberos)是一个选项,但似乎更像是用于Web服务器到KDC身份验证。
提前感谢您,感谢社区的时间和精力。
----附加信息1 ----
Btw,让用户清除所有门票 - klist清除并让她尝试访问SSO网站(使用IWA Curb保护)并验证她已获得路边票5客户:xxjdoe @XXX.XX.XXX
Server: HTTP/ssologon.xxx.xxx.xx.xx @ XXX.XXX.XX.XXX KerbTicket Encryption Type: RSADSI RC4-HMAC(NT) Ticket Flags 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate Start Time: 4/7/2017 13:54:59 (local) End Time: 4/7/2017 23:54:48 (local) Renew Time: 4/14/2017 13:54:48 (local) Session Key Type: RSADSI RC4-HMAC(NT)
--------结束1 ---------------