對向 Kerberos 進行身份驗證的一台客戶端上的 GSS-API 錯誤進行故障排除

當使用多個客戶端中的一個向 kadmin 進行身份驗證時，它會失敗並顯示

kadmin: GSS-API (or Kerberos) error while initializing kadmin interface.

Kerberos 主機使用其子網地址指定。

我已經看到這個錯誤歸因於 NTPD 同步錯誤，但我無法辨別出這個特定客戶端上的 ntp(d) 設置有什麼不同。我應該檢查什麼？關於NTP？克伯羅斯？GSS？什麼是比較工作客戶端和非工作客戶端的 Kerberos / LDAP 文件的快速方法？（當然，有所有受影響/影響 LDAP/Kerberos 身份驗證的文件的列表？）

注意： kinit 有效， kadmin -p admin 由於 NTP/時間問題而無效。

我不能是唯一一個被防火牆阻塞的人會阻塞埠 123 — 這會導致這種錯誤。（Kerberos 身份驗證需要時間同步）。

解決方案：

1. 將 Kerberos 伺服器（或 LAN 上的其他伺服器）配置為 NTP 伺服器。
2. 將該伺服器配置為從自己的時鐘更新
3. 讓失敗的客戶端將其時間同步到本地主機

重新配置本地時間伺服器： 1. 添加自己的時鐘作為時間源並允許來自網路的連接（甚至廣播）：

system ntp stop

微微 /etc/ntp.conf

添加：

server 0.us.pool.ntp.org iburst
server 1.us.pool.ntp.org iburst
server 2.us.pool.ntp.org iburst
server 3.us.pool.ntp.org iburst
server 127.127.1.0
server 127.127.1.0 stratum 10

子網：

restrict 10.0.0.0 mask 255.255.255.0

播送：

broadcast 10.0.0.255

作為根，然後：

system ntp start

在客戶端：

ntpdate -bs 10.0.0.1 #whatever the local ntp host is

引用自：https://unix.stackexchange.com/questions/219348