Назад | Перейти на главную страницу

Невозможно войти в kadmin из клиента Kerberos

У меня небольшая проблема с аутентификацией моего клиента на сервере Kerberos, который я только что настроил. Когда бы я ни бегал:

[root@localhost log]# kadmin -r KERBEROS.MONZELL.COM -p host/kerberos.monzell.com
Authenticating as principal host/kerberos.monzell.com with password.

Я получаю следующее сообщение:

Password for host/kerberos.monzell.com@KERBEROS.MONZELL.COM: 
kadmin: Communication failure with server while initializing kadmin interface

На стороне сервера я вижу следующее:

Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: SERVER_NOT_FOUND: host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM, Server not found in Kerberos database

Хотя, похоже, потом он делает еще:

Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: ISSUE: authtime 1315883987, etypes {rep=18 tkt=18 ses=18}, host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/admin@KERBEROS.MONZELL.COM
Sep 12 23:24:14 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: ISSUE: authtime 1315884254, etypes {rep=18 tkt=18 ses=18}, host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM

Я попытался заставить его работать несколько руководителей:

kadmin.local:  listprincs
K/M@KERBEROS.MONZELL.COM
host/kerberos.monzell.com@KERBEROS.MONZELL.COM
host/kvm0001.monzell.com@KERBEROS.MONZELL.COM
kadmin/admin@KERBEROS.MONZELL.COM
kadmin/changepw@KERBEROS.MONZELL.COM
kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM
kadmin/sl6@KERBEROS.MONZELL.COM
ken@KERBEROS.MONZELL.COM
krbtgt/KERBEROS.MONZELL.COM@KERBEROS.MONZELL.COM
rilindo@KERBEROS.MONZELL.COM
root/admin@KERBEROS.MONZELL.COM

А также добавление имен хостов для реального и клиентского как в файл хостов клиента, так и в файл хостов сервера (клиент - kvm0001.monzell.com, а сервер kerberos - kerberos.monzell.com). Пока безуспешно.

В каком направлении мне идти отсюда?

И клиент, и сервер работают под управлением Scientific Linux 6, BTW, причем клиент является экземпляром KVM, работающим поверх сервера.

Позвольте мне добавить, что да, есть возможность включить аутентификацию Kerberos в утилите authconfig. Однако я впервые настраиваю сервер Kerberos, поэтому я не знаю, будет ли он работать на самом деле. Вот почему я выполняю именно это упражнение.

Я разобрался - ну, во-первых, оказывается, что запуск kadmin не был правильным способом протестировать керберос. Вместо этого я установил утилиту керберизованного сервера в KDC, а затем протестировал krsh с помощью:

/usr/kerberos/bin/krsh -x -PN kerberos.monzell.com

Что касается kadmin, я получал ошибку, потому что мне нужно открыть порт 749 в KDC:

iptables -I INPUT -s 192.168.15.0/24 -m tcp -p tcp --dport 749 -j ACCEPT

Это решило проблему и позволило мне управлять KDC из клиентского компьютера.

[root@localhost ~]# kadmin -p rilindo/admin@MONZELL.COM
Authenticating as principal rilindo/admin@MONZELL.COM with password.
Password for rilindo/admin@MONZELL.COM: 
kadmin:  listprincs
K/M@MONZELL.COM
host/kerberos.monzell.com@MONZELL.COM
host/kvm0007.monzell.com@MONZELL.COM
kadmin/admin@MONZELL.COM
kadmin/changepw@MONZELL.COM
kadmin/sl6@MONZELL.COM
krbtgt/MONZELL.COM@MONZELL.COM
rilindo/admin@MONZELL.COM
rilindo@MONZELL.COM