所以,在过去的一周里,我试图解决这个kerberos问题。
长话短说,我们有一个服务器,它识别传入用户做一些工作。最近,我们需要上传一些结果,所以用户现在被委派,这样它就可以在另一台服务器上进行授权。问题是,在登录后的第二天,服务器无法委派同一用户。它在形成AP_REQ消息时失败,出现krb5_cc_notfound错误。
如果我尝试迭代缓存,它在krb5_cc_start_seq_get失败,并出现相同的错误。
如果我尝试获取其他票证(在成功登录后的第二天(,它在krb5_get_credentials失败,并且在以后的尝试中(我猜缓存将无效?如果它在此时有效(,它无法解析默认主体。
缓存类型为MSLSA。
每次失败后,在事件日志中,我都会看到一个kerberos warning,后面跟着一个错误。首先说"TGT已过期,尝试续订但失败",另一个是KRB_AP_ERR_TKT_expired。
我们房间里很少有kerberos的经验,所以如果你能分享一些,那就太酷了。
这是第三方库中的一个错误。它基本上永久存储windows登录句柄。