KDC で使用される鍵バージョン番号 (KVNO) と、システム上でホストされるサービスの /etc/krb5/krb5.keytab に格納されているサービス主体鍵が一致しないことがあります。keytab ファイルを新しい鍵で更新せずに KDC 上で新しい鍵セットが作成されると、KVNO が同期しなくなる場合があります。問題を診断したら、krb5.keytab ファイルをリフレッシュしてください。
keytab エントリを一覧表示します。
各主体の KVNO が各エントリ内の最初の項目です。
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM
host 鍵を使用して、最初の資格を取得します。
# kinit -k
KDC で使用される KVNO を確認します。
# kvno nfs/denver.example.com nfs/denver.example.com@EXAMPLE.COM: kvno = 3
ここに示されている KVNO は 2 ではなく 3 です。