Nach Takeover: kinit: krb5_get_init_creds: unable to reach any KDC in realm

ucs-4-1
kerberos
german

#1

Nach einem Takeover von Zentyal nach UCS habe ich festgestellt, dass das Joinen eines BackupDCs fehlschlägt. nach verschiedenen Überprüfungen stelle ich fest, dass die Authentifizierung am BackupDC nicht funktioniert und deshalb sich die Benutzer manchmal nicht anmelden können, obwohl das Kennwort korrekt eingegeben wurde.

Ich auf dem BackupDC mal mit kinit versucht mich anzumelden und dann mit klist die Meldung ausgeben lassen

root@ucs100092:~# kinit Administrator
Administrator@LAPRINTA.LAN's Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm LAPRINTA.LAN
root@ucs100092:~# klist
klist: No ticket file: /tmp/krb5cc_0

Wenn ich in der /etc/krb5.conf den Wert 127.0.0.1 auf die IP des DC ändere, dann geht es zwar, aber ich denke, dass es nicht die Lösung ist, da ein BackupDC ja solch eine Anmeldung selbst vornehmen muss/sollte.

Daraus entsteht dann (sehr wahrscheinlich) auc der Folgefehler mit der defekten Replikation (siehe andere Frage).

Wie kann ich mein Keberos auf dem BackupDC reparieren bzw. was soll ich überprüfen und vergleichen um die Ursache festzustellen


#2

https://help.univention.com/t/nach-takeover-keine-replizierung-von-dc-master/5567/16


#3

https://help.univention.com/t/kinit-unable-to-reach-any-kdc-in-realm/2757/2

Ursache war schließlich: Weil die Variabel samba/interfaces/bindonly = yes und die Variabel samba/interfaces = “eth0” gesetzt wird (durch die Installation von Agorum oder KVM, hört samba nicht mehr auf das Interface lo. Deshalb schlägt die Kommunikation mit Keberos fehl.

ucr set samba/interfaces="$(ucr get samba/interfaces) lo" 

Danach einen Neustart und es kommt zu keiner erkennbaren Fehlermeldung mehr