У меня небольшая проблема с аутентификацией моего клиента на сервере Kerberos, который я только что настроил. Когда бы я ни бегал:
[root@localhost log]# kadmin -r KERBEROS.MONZELL.COM -p host/kerberos.monzell.com
Authenticating as principal host/kerberos.monzell.com with password.
Я получаю следующее сообщение:
Password for host/kerberos.monzell.com@KERBEROS.MONZELL.COM:
kadmin: Communication failure with server while initializing kadmin interface
На стороне сервера я вижу следующее:
Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: SERVER_NOT_FOUND: host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM, Server not found in Kerberos database
Хотя, похоже, потом он делает еще:
Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: ISSUE: authtime 1315883987, etypes {rep=18 tkt=18 ses=18}, host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/admin@KERBEROS.MONZELL.COM
Sep 12 23:24:14 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: ISSUE: authtime 1315884254, etypes {rep=18 tkt=18 ses=18}, host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM
Я попытался заставить его работать несколько руководителей:
kadmin.local: listprincs
K/M@KERBEROS.MONZELL.COM
host/kerberos.monzell.com@KERBEROS.MONZELL.COM
host/kvm0001.monzell.com@KERBEROS.MONZELL.COM
kadmin/admin@KERBEROS.MONZELL.COM
kadmin/changepw@KERBEROS.MONZELL.COM
kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM
kadmin/sl6@KERBEROS.MONZELL.COM
ken@KERBEROS.MONZELL.COM
krbtgt/KERBEROS.MONZELL.COM@KERBEROS.MONZELL.COM
rilindo@KERBEROS.MONZELL.COM
root/admin@KERBEROS.MONZELL.COM
А также добавление имен хостов для реального и клиентского как в файл хостов клиента, так и в файл хостов сервера (клиент - kvm0001.monzell.com, а сервер kerberos - kerberos.monzell.com). Пока безуспешно.
В каком направлении мне идти отсюда?
И клиент, и сервер работают под управлением Scientific Linux 6, BTW, причем клиент является экземпляром KVM, работающим поверх сервера.
Позвольте мне добавить, что да, есть возможность включить аутентификацию Kerberos в утилите authconfig. Однако я впервые настраиваю сервер Kerberos, поэтому я не знаю, будет ли он работать на самом деле. Вот почему я выполняю именно это упражнение.
Я разобрался - ну, во-первых, оказывается, что запуск kadmin не был правильным способом протестировать керберос. Вместо этого я установил утилиту керберизованного сервера в KDC, а затем протестировал krsh с помощью:
/usr/kerberos/bin/krsh -x -PN kerberos.monzell.com
Что касается kadmin, я получал ошибку, потому что мне нужно открыть порт 749 в KDC:
iptables -I INPUT -s 192.168.15.0/24 -m tcp -p tcp --dport 749 -j ACCEPT
Это решило проблему и позволило мне управлять KDC из клиентского компьютера.
[root@localhost ~]# kadmin -p rilindo/admin@MONZELL.COM
Authenticating as principal rilindo/admin@MONZELL.COM with password.
Password for rilindo/admin@MONZELL.COM:
kadmin: listprincs
K/M@MONZELL.COM
host/kerberos.monzell.com@MONZELL.COM
host/kvm0007.monzell.com@MONZELL.COM
kadmin/admin@MONZELL.COM
kadmin/changepw@MONZELL.COM
kadmin/sl6@MONZELL.COM
krbtgt/MONZELL.COM@MONZELL.COM
rilindo/admin@MONZELL.COM
rilindo@MONZELL.COM