kinit pré-autenticação falha

Navegue suas respostas
2

Eu tenho um CentOS 6.4 que alguém configurou há algum tempo.

O administrador não sabe ao certo como o instalou, mas funciona muito bem com o Kerberos. Eu usei o authconfig para definir o domínio e as configurações do Kerberos.

Eu uso ktpass em um controlador de domínio do Windows e transferi o keytab. kinit -k funciona bem e eu posso usá-lo para montagens nfsv4 Kerberos.

Isso tudo é bastante normal.

Meu problema é que tenho um cliente que instalou o 6.7 com uma instalação básica e não conseguimos que o kinit funcione corretamente.

Nós configuramos esses RPMs. 

$ yum install krb5-libs krb5-workstation pam_krb5 \
       cyrus-sasl-gssapi samba-* nfs-utils nfs4-acl-tools tcpdump -y

Cada tentativa de obter o sistema para pegar um tgt retorna o genérico. 

$ kinit -k nfs/oldlabsystem
kinit: Preauthentication failed while getting initial credentials

Voltei e instalei o 6.4 da mesma forma e agora o 6.4 tem o problema. Peguei uma lista dos rpms do meu 6.4 de trabalho e usei o yum para instalar os mesmos RPMs.

Sem sorte aqui.

Os rastreamentos de rede são exibidos como: 

AS-REQ
AS-REP error-code: eRR-PREAUTH-REQUIRED (25)
AS-REQ
error-code: eRR-PREAUTH-FAILED (24)

Voltei e criei novas chaves para o meu sistema de trabalho para garantir que meu método de gerar as chaves estivesse correto. Meu sistema 6.4 de trabalho não tem nenhum problema.

No sistema 6.4 que não funciona, posso fazer um kinit username e fornecer a senha do usuário sem nenhum problema. Mas eu não posso fazer um kinit -k se eu fizer um kinit e fornecer a senha definida com o kpass que acabo com 

kinit: Preauthentication failed while getting initial credentials

Em frustração, voltei e criei uma conta de usuário e, em seguida, gerou um keytab a partir dela. Isso também falhou com o mesmo erro. Então, na conta de usuário no AD, desativei a pré-autenticação e, em seguida, o kinit retornou isso. 

[root@ ~]# kinit -k nfs/nfstestsystem.rockies.beta
kinit: Password incorrect while getting initial credentials

Eu suspeito que o keytab está de alguma forma sendo corrompido ou o sistema operacional está usando as chaves incorretamente.

Meu problema é que esses erros são tão genéricos que é quase impossível encontrar algo de valor nos quadros de mensagens: lab-admin-krb5.

Eu tentei postar essas perguntas nos fóruns do CentOS, mas não fui muito longe.

Um strace de ambos os kinit mostra essencialmente as mesmas chamadas para as mesmas bibliotecas.

    
por krb-admin 04.03.2016 / 17:06

1 resposta

0

  1. liste o keytab com klist e cole aqui

  2. mostre a saída get_principal - você tem um conjunto de pré-autenticação?

  3. mostre os registros do kdc

Isso esclarecerá seu problema.

    
por 15.11.2017 / 00:07

Tags

Como posso reconfigurar um guest Linux no Proxmox para usar um HDD baseado em virtio ao invés de IDE? Por que o EBS continua esperando por instâncias terminadas?