配置 /etc/krb5.conf 文件,正确设置 default_realm、kdc 和 admin_server;2. 使用 nc 测试 kdc 88 端口连通性;3. 确保系统时间同步,避免认证因时钟偏移失败;4. 执行 kinit 获取 tgt 并用 klist 验证票据;5. 排查配置大小写、防火墙、selinux 和 dns 解析问题。
要在 Linux 系统上配置 Kerberos 客户端与 KDC(Key Distribution Center)正常通信,核心是正确设置 krb5.conf 文件并确保网络和服务可达。下面分步骤说明关键配置和验证方法。
配置 krb5.conf 文件
Kerberos 客户端的主要配置文件位于 /etc/krb5.conf,需根据实际环境填写域和 KDC 信息。
示例配置:
[libdefaults]default_realm = EXAMPLE.COM
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = kdc.example.com:88
admin_server = kdc.example.com:749
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
注意替换 EXAMPLE.COM 和 kdc.example.com 为实际域名和 KDC 主机地址。若使用非标准端口,需明确指定。
测试与 KDC 的连通性
在尝试认证前,先确认网络层和端口可达。
- 使用 telnet 或 nc 测试 KDC 的 88 端口:
nc -zv kdc.example.com 88 - 确保系统时间同步,Kerberos 对时间敏感,偏差超过 5 分钟会导致认证失败。
推荐运行 chronyd 或 ntpd 与同一 NTP 服务器同步。
获取和验证票据
使用 kinit 命令请求 TGT(Ticket Granting Ticket):
- 执行 kinit username@EXAMPLE.COM,输入密码后无报错即表示成功
- 用 klist 查看当前缓存的票据,确认有效期和 principal 正确
- 若提示“KDC reply did not match expectations”或“Cannot contact any KDC”,检查 realm 拼写、DNS 解析或防火墙设置
排查常见问题
客户端无法通信通常由以下原因导致:
- 配置大小写敏感:realm 必须全大写,主机名区分大小写
- 时间不同步:使用 timedatectl set-ntp true 启用自动同步
- SELinux 或防火墙拦截:临时关闭 SELinux 测试,或放行 UDP 88 端口
- DNS 未解析 KDC:在 /etc/hosts 中添加 KDC 主机映射作为临时方案
基本上就这些。只要 krb5.conf 正确、时间一致、网络通畅,客户端就能与 KDC 成功通信。
