Saya memiliki host pemeras debian di mana saya tidak bisa masuk dengan kerberos tanpa kata sandi. Host ubuntu 12.04 yang dikonfigurasi secara identik berfungsi dengan baik dan dapat masuk tanpa mendapatkan prompt kata sandi.
Setelah kinit, klist memberikan:
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: boti@REALM
Valid starting Expires Service principal
14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM
Sekarang ketika saya mencoba masuk lebih dari ssh ke debian-squeeze saya disajikan dengan prompt kata sandi. Jika saya memeriksa tiket saya pada titik ini tanpa melakukan auth, saya mendapatkan:
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: boti@REALM
Valid starting Expires Service principal
14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM
14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@
14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@REALM
Jadi jelas saya mendapat tiket. Namun log debug ssh memberikan:
Postponed gssapi-with-mic for boti from 192.168.255.98 port 59557 ssh2
debug3: mm_request_send entering: type 40
debug3: mm_request_receive_expect entering: type 41
debug3: mm_request_receive entering
debug3: monitor_read: checking request 40
debug1: Unspecified GSS failure. Minor code may provide more information
Wrong principal in request
Ini sangat mirip dengan apa yang dijelaskan di sini , di sini , dan dalam laporan bug ini .
DNS saya baik-baik saja. Sudah mencoba membuat ulang prinsipal / kunci. Jadi tidak ada solusi yang membantu yang diposting di sana.
Ada petunjuk?
linux
ssh
debian-squeeze
kerberos
b0ti
sumber
sumber
Jawaban:
Dalam output sampel saya melihat bahwa Anda mendapat kunci untuk
debian-squeeze- nama host tanpa titik di dalamnya. Ini membuktikan bahwa Anda mengatur resolusi terbalik untuk menunjuk ke nama pendek. Apakah itu benar-benar nama non-FQDN yang Anda lihat, atau itu diedit untuk pertanyaan?Kerberos harus bekerja dengan baik, tetapi Anda dapat memeriksa bahwa tuan rumah itu sendiri berpikir itu disebut
debian-squeeze. Periksa bahwa forward -> reverse lookup di dalamnyadebian-squeezebenar-benar memutuskan untukdebian-squeeze:Saya belum pernah benar-benar mendengar tentang Kerberos yang digunakan dengan nama pendek, jadi jika Anda punya pilihan, mungkin ide yang bagus untuk tetap menggunakan FQDN.
Memperbarui:
Klien saat ini mendapatkan kunci untuk nama pendek, tetapi server berpikir itu benar nama dengan nama panjang. Kemungkinan besar masalahnya ada di sana. Untuk memastikannya, coba yang berikut ini:
Periksa pencarian nama maju / mundur dari klien. Yaitu
Nama yang dikembalikan adalah nama yang akan dicoba klien untuk mendapatkan tiketnya. Menilai dari keluaran Anda, ini mungkin nama pendek.
Periksa kunci apa yang ada di server.
Dalam daftar Anda harus melihat kepala sekolah yang cocok dengan nama host dari perintah sebelumnya. Jika tidak ada di sana, itu masalah Anda. Jika ada ...
Verifikasi versi kunci pada server kerberos sama dengan yang aktif
debian-squeeze. Di klien, dapatkan kunci secara eksplisit dan verifikasi versi "KVNO" di akhir baris:Bagaimanapun, nama host dan versi "kvno" di semua perintah ini harus cocok.
sumber
hostname. IP memetakan kembali ke FQDN, jadi perintah yang Anda berikan mengembalikan 'debian-squeeze.realm'. Sebagai catatan tambahan: Saya memiliki dua tombol yang diatur untuk host ini, satu untuk fqdn dan satu untuk nama pendek. Mungkinkah ini mengacaukan?Saya telah melihat kesalahan ini ketika / etc / hosts di server menyertakan entri untuk alamat IP-nya yang tidak cocok dengan apa yang ada di DNS atau keytab. Sudahkah Anda mengecek (atau menghapus) semua entri non-localhost dari / etc / hosts?
sumber