Недавно я сделал новую установку FreeIPA (ВЕРСИЯ: 4.6.90.pre1 + git20180411, API_VERSION: 2.229) на Ubuntu 18.04 LTS. Учетные данные администратора работают нормально, я могу легко войти в веб-приложение, создание пользователей и проверка подлинности из клиентских веб-приложений работают. Аутентификация с клиентских машин в основном работает, но не работает при обновлении их пароля (в том числе после первоначального входа в систему, когда запрашивается обновление пароля). Доменное имя сервера жестко прописано в / etc / hosts для каждой машины (еще не настроено DNS), а брандмауэр отключен.
Я пробовал kinit на самом сервере с аналогичным поведением. Аутентификация работает, но не удается изменить пароль:
kinit: невозможно связаться с любым KDC для запрошенной области при получении начальных учетных данных
У kpasswd такая же проблема. Я отследил команду и получил ее непосредственно перед ошибкой:
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
Порт 464, похоже, ни на что не отвечает и не обрабатывается Nmap. 88 - единственный порт Kerberos, который находит Nmap.
Я в основном новичок в Kerberos. Имеет ли смысл, что служба смены пароля не будет работать, пока работает служба аутентификации? Насколько я понимаю, kadmind управляет обоими, и, похоже, он работает. Пробовал поиграть с конфигом. Я попытался оставить настройки kpasswd по умолчанию или явно установить kpasswd_port на 464 в kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
Есть идеи относительно того, в чем может быть причина или что мне следует попробовать дальше? У меня закончились идеи.
Я не мог заставить это работать на Ubuntu. Я перешел на Fedora 30, и у меня не было проблем с настройкой.