У нас есть работающая установка FreeIPA, она в производстве с февраля. Почти все работает, как ожидалось, но когда мы пытаемся запустить инструменты командной строки, связанные с FreeIPA, ни один из них не работает:
[admin@ipa ~]$ kinit admin
Password for admin@EXAMPLE.COM:
[admin@ipa ~]$ klist
Ticket cache: KEYRING:persistent:8800000
Default principal: admin@EXAMPLE.COM
Valid starting Expires Service principal
06/30/2014 21:19:30 07/01/2014 21:19:12 krbtgt/EXAMPLE.COM@EXAMPLE.COM
[admin@ipa ~]$ ipa pwpolicy-show global_policy
ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243)
[admin@ipa ~]$
Я не специалист по Kerberos и не знаю, что проверять. Как мы можем отладить и решить эту проблему?
Обновить: когда я добавляю -vv Получаю следующее:
[admin@ipa ~]$ ipa -vv pwpolicy-show global_policy
ipa: INFO: trying https://ipa.example.com/ipa/xml
ipa: INFO: Forwarding 'pwpolicy_show' to server 'https://ipa.example.com/ipa/xml'
ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243)
[admin@ipa ~]$
Обновление 2: содержание /etc/krb5.conf следует:
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = true
rdns = false
ticket_lifetime = 24h
forwardable = yes
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
EXAMPLE.COM = {
kdc = ipa.example.com:88
master_kdc = ipa.example.com:88
admin_server = ipa.example.com:749
default_domain = example.com
pkinit_anchors = FILE:/etc/ipa/ca.crt
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
[dbmodules]
EXAMPLE.COM = {
db_library = ipadb.so
}
Обновление 3: Это односерверная установка, дистрибутив - Fedora 19, а версия FreeIPA - 3.3.5.
Основное отличие, которое я вижу в вашей конфигурации по сравнению с моим живым FreeIPA (на Fedora 20), заключается в том, что я не использую связку ключей ядра в качестве кеша билетов.
default_ccache_name = KEYRING:persistent:%{uid}
Мой /etc/krb5.conf не указывает это вообще, поэтому используется ФАЙЛ по умолчанию. Удаление этого должно снова заставить вас работать.
Как указывает Мэтью Ифе в комментарии, связка ключей ядра более безопасна и (в конечном итоге) будет подходящим вариантом, но на данный момент она не кажется достаточно стабильной для производственного использования. Вы можете сообщить об этом Fedora как об ошибке.