Erro Kerberos ao inicializar a interface kadmin do servidor admin

Question

Erro Kerberos ao inicializar a interface kadmin do servidor admin

#1 resposta do (5 votos)

2

Eu atualizei minha chave mestra para o meu servidor Kerberos 5 seguindo as instruções do MIT Kerberos 5 . Eu reiniciei os serviços kdc e kadmind e usei o krb5-prop para enviar as mudanças para os outros servidores.

Agora não consigo me conectar com o kadmin em nenhum servidor, incluindo o servidor admin:

$kadmin
Authenticating as principal jacob/[email protected] with password.
Password for jacob/[email protected]:
kadmin: GSS-API (or Kerberos) error while initializing kadmin interface

A partir da minha pesquisa, descobri que uma razão comum para isso são problemas de sincronização de horário, mas as máquinas estão correspondendo dentro de um segundo e ele falha mesmo no servidor que está executando o kadmind.

Não sei como solucionar isso. Minha versão do kadmind não possui nenhum tipo de argumento de depuração ou nível de registro detalhado que eu tenha encontrado. Eu tentei executá-lo a partir da linha de comando com -nofork e é muito tranquilo lá.

A senha é aceita. Eu posso kinit como o princípio de destino e se eu digitar a senha errada, isso me diz.

kadmin: Incorrect password while initializing kadmin interface

Se o serviço kadmind não estiver sendo executado, também ocorrerá um erro diferente.

kadmin: Communication failure with server while initializing kadmin interface

Eu não testei o kadmin antes de atualizar a senha mestra, mas eu a usei recentemente e nenhuma outra alteração de configuração foi feita. Eu tentei verificar meus números de versão de chave (kvno) e eles parecem estar corretos.

O que mais poderia estar causando isso? Onde mais posso verificar? Como posso depurar o kadmind?

Debian 8, krb5-admin-server 1.12.1.

debian kerberos linux mitkerberos

por jla 17.09.2016 / 01:59

1 resposta

Tags debian kerberos linux mitkerberos

mais de 10 pesquisas de DNS por SPF .htaccess está parando um site de trabalhos enquanto sites WP funcionam, por quê?

score 5 · Accepted Answer

Eu me deparei com o mesmo problema (mesmas versões do Debian e do krb5-admin-server).

O mesmo que você, ele não estava funcionando quando eu corri o kadmin do próprio servidor admin do kerberos, que descarta as diferenças de tempo (eu até instalei o NTP para ter certeza - não fazia diferença no problema).

No meu caso, a questão acabou por ser de entropia. O Kadmin sendo muito seguro requer muita entropia para gerar as chaves de sessão.

Minha configuração (uma configuração de teste) está sendo executada em máquinas virtuais. Eu acharia que não poderia kadmin em tudo, mas depois de cerca de meia hora kadmin iria 'misteriosamente' começar a trabalhar.

Você pode verificar a entropia do sistema em:

/ proc / sys / kernel / aleatório / entropy_avail

Para remediar o problema, fiz uso da entropia do computador host (/ dev / random), e usando o rng-tools, tornei isso disponível para o kadmin.

Como um aparte, para a solução de problemas gerais do kerberos, você pode ver:

link

Algo como o seguinte enviará o log de rastreamento para a stdout, permitindo que você veja o que está acontecendo em detalhes:

env KRB5_TRACE=/dev/stdout kadmin -p johndoe/[email protected]