有时,KDC 使用的密钥版本号 (Key Version Number, KVNO) 与 /etc/krb5/krb5.keytab 中存储的系统托管服务的服务主体密钥不匹配。如果 KDC 中创建了一组新密钥,但没有在密钥表文件中更新这些新密钥,KVNO 可能会不同步。诊断问题后,刷新 krb5.keytab 文件。
列出 keytab 条目。
每个主体的 KVNO 是每个条目中的第一项。
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM
使用 host 密钥获取初始凭证。
# kinit -k
确定 KDC 所使用的 KVNO。
# kvno nfs/denver.example.com nfs/denver.example.com@EXAMPLE.COM: kvno = 3
请注意,此处列出的 KVNO 是 3 而不是 2。