Falha na configuração de um Keytab para um usuário: “kinit: senha incorreta ao obter credenciais iniciais”

Question

Falha na configuração de um Keytab para um usuário: “kinit: senha incorreta ao obter credenciais iniciais”

#1 resposta do (0 votos)

1

Eu tenho um cluster de máquinas rodando o CentOS 7.3. Kerberos, DNS, LDAP, etc. estão em uso de uma maneira unificada através do uso do FreeIPA 4.4.

Eu tenho um usuário em particular que executa testes automatizados. Portanto, esses usuários precisam ser capazes de obter um ticket de concessão de ticket sem a entrada de senha. Eu tentei fazer isso criando um keytab e efetivamente "pré-inserindo" a senha. No entanto, eu não posso kinit usando o keytab, como mostrado abaixo.

RECEBA O NÚMERO DA VERSÃO CHAVE (kvno) do KDC

[[email protected] ~]# kadmin.local -q 'get_principal [email protected]'
Authenticating as principal root/[email protected] with password.
Principal: [email protected]
Expiration date: [never]
Last password change: Mon Jul 16 06:54:59 CDT 2018
Password expiration date: Tue Jul 23 06:54:59 CDT 2019
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mon Jul 16 06:54:59 CDT 2018 ([email protected])
Last successful authentication: Mon Jul 23 11:03:38 CDT 2018
Last failed authentication: Mon Jul 23 14:40:57 CDT 2018
Failed password attempts: 1
Number of keys: 2
Key: vno 3, aes256-cts-hmac-sha1-96:special
Key: vno 3, aes128-cts-hmac-sha1-96:special
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH
Policy: [none]

CRIE UM KEYTAB, USANDO O KVNO DE ACIMA, NA MÁQUINA DO CLIENTE

[email protected]$ cd /home/myuser
[email protected]$ mkdir .krb5
[email protected]$ chmod 700 .krb5
[email protected]$ cd /home/myuser/.krb5
[email protected]$ ktutil
ktutil:  addent -password -p [email protected] -k 3 -e aes256-cts
Password for [email protected]:
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1                    [email protected]
ktutil:  wkt myuser.keytab
ktutil:  exit

ESCREVA O KEYTAB QUE CRIAMOS APENAS NA MÁQUINA DO CLIENTE

[email protected]$ klist -kte myuser.keytab
Keytab name: FILE:myuser.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   1 07/23/2018 14:33:30 [email protected] (aes256-cts-hmac-sha1-96)

TENTATIVA DE USAR O KEYTAB NA MÁQUINA DO CLIENTE

[email protected]$ klist
klist: Credentials cache keyring 'persistent:4866486744:krb_ccache_rGHfj38' not found
[email protected]$ kinit [email protected] -k -t /home/myuser/.krb5/myuser.keytab
kinit: Password incorrect while getting initial credentials

Onde estou errado ao configurar o keytab para esse usuário?

authentication kerberos linux centos freeipa

por Dave 25.07.2018 / 12:20

1 resposta

Tags authentication kerberos linux centos freeipa

Ferramentas para converter caracteres de controle C1 de 8 bits em seqüências ESC? O desligamento trava quando o cryptsetup tenta fechar a partição

score 0 · Accepted Answer

Ainda não sei por que usar o ktutil no cliente não funcionou, mas usar o kadmin.local no servidor:

kadmin.local
kadmin.local: ktadd -k myuser.keytab -norandkey [email protected]
kadmin.local: exit

Mova este arquivo com segurança para um diretório seguro no cliente.

No cliente, use este arquivo keytab da seguinte forma:

kinit -k -t myuser.keytab [email protected]