Parfois, le numéro de version de clé (KVNO) utilisé par le KDC et les clés du principal de service stockées dans le fichier /etc/krb5/krb5.keytab pour les services hébergés sur le système ne correspondent pas. Le KVNO peut être désynchronisé lors de la création d'un nouvel ensemble de clés sur le KDC sans mettre à jour le fichier keytab avec les nouvelles clés. Une fois le problème identifié, actualisez le fichier krb5.keytab.
Répertoriez les entrées keytab .
Le KVNO pour chaque principal est le premier élément de chaque entrée.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM
Faites l'acquisition d'autorisations initiales à l'aide de la clé host.
# kinit -k
Déterminez le KVNO utilisé par le KDC.
# kvno nfs/denver.example.com nfs/denver.example.com@EXAMPLE.COM: kvno = 3
Notez que le KVNO répertorié ici est 3 au lieu de 2.