FreeIPA: ferramentas de linha de comando não funcionam, 'Nenhuma credencial Kerberos disponível'

Question

FreeIPA: ferramentas de linha de comando não funcionam, 'Nenhuma credencial Kerberos disponível'

#1 resposta do (3 votos)

3

Temos uma instalação do FreeIPA em funcionamento, está em produção desde fevereiro. Quase tudo funciona como esperado, mas quando tentamos executar ferramentas relacionadas à linha de comando FreeIPA, nenhuma delas funciona:

[admin@ipa ~]$ kinit admin
Password for [email protected]: 
[admin@ipa ~]$ klist
Ticket cache: KEYRING:persistent:8800000
Default principal: [email protected]

Valid starting       Expires              Service principal
06/30/2014 21:19:30  07/01/2014 21:19:12  krbtgt/[email protected]
[admin@ipa ~]$ ipa pwpolicy-show global_policy
ipa: ERROR: Kerberos error: ('Unspecified GSS failure.  Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243)
[admin@ipa ~]$

Eu não sou um especialista em Kerberos e realmente não sei o que verificar. Como podemos depurar e resolver isso?

Atualização: quando adiciono -vv , obtenho o seguinte:

[admin@ipa ~]$ ipa -vv pwpolicy-show global_policy
ipa: INFO: trying https://ipa.example.com/ipa/xml
ipa: INFO: Forwarding 'pwpolicy_show' to server 'https://ipa.example.com/ipa/xml'
ipa: ERROR: Kerberos error: ('Unspecified GSS failure.  Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243)
[admin@ipa ~]$

Atualização 2: o conteúdo de /etc/krb5.conf segue:

includedir /var/lib/sss/pubconf/krb5.include.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = true
 rdns = false
 ticket_lifetime = 24h
 forwardable = yes
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 EXAMPLE.COM = {
  kdc = ipa.example.com:88
  master_kdc = ipa.example.com:88
  admin_server = ipa.example.com:749
  default_domain = example.com
  pkinit_anchors = FILE:/etc/ipa/ca.crt
}

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

[dbmodules]
  EXAMPLE.COM = {
    db_library = ipadb.so
  }

Atualização 3: Esta é uma instalação de servidor único, a distribuição é o Fedora 19 e a versão FreeIPA é 3.3.5

kerberos freeipa

por Alex 30.06.2014 / 22:25

1 resposta

Tags kerberos freeipa

tcpdump: “ethertype Unknown”? A priorização de pedidos da Netmask não funciona?

score 3 · Accepted Answer

A principal diferença que eu vejo na sua configuração em comparação com o meu FreeIPA ao vivo (no Fedora 20) é que eu não uso o chaveiro do kernel como um cache de ticket.

 default_ccache_name = KEYRING:persistent:%{uid}

Meu /etc/krb5.conf não especifica isso, portanto, o arquivo padrão é usado. Remover isso deve fazer você ir de novo.

Como Matthew Ife indica em um comentário, o chaveiro do kernel é mais seguro e (eventualmente) será o caminho a percorrer, mas no momento não parece ser estável o suficiente para uso em produção. Você pode relatar isso ao Fedora como um bug.