Я обновил свой главный ключ для своего сервера Kerberos 5 следуя инструкциям MIT Kerberos 5. Я перезапустил службы kdc и kadmind и использовал krb5-prop для передачи изменений на другие серверы.
Теперь я не могу подключиться к kadmin с любого сервера, включая сервер администратора:
$kadmin
Authenticating as principal jacob/admin@THE.REALM with password.
Password for jacob/admin@THE.REALM:
kadmin: GSS-API (or Kerberos) error while initializing kadmin interface
По результатам поиска я обнаружил, что распространенной причиной этого являются проблемы с синхронизацией времени, но машины совпадают в течение секунды, и это не удается даже на сервере, на котором запущен kadmind.
Я не знаю, как это исправить. В моей версии kadmind нет каких-либо аргументов отладки или подробного уровня ведения журнала, которые я обнаружил. Я пробовал запускать его из командной строки с -nofork, и там очень тихо.
Пароль принят. Я могу kinit как целевой принцип, и если я ввожу неправильный пароль, он мне скажет.
kadmin: Incorrect password while initializing kadmin interface
Если служба kadmind не запущена, она также выдает другую ошибку.
kadmin: Communication failure with server while initializing kadmin interface
Я не тестировал kadmin непосредственно перед обновлением мастер-пароля, но я использовал его недавно, и никаких других изменений в конфигурацию внесено не было. Я попытался проверить номера версий своих ключей (kvno), и они оказались верными.
Что еще могло быть причиной этого? Где еще я могу проверить? Как мне отладить кадминд?
Debian 8, krb5-admin-server 1.12.1.
Я столкнулся с той же проблемой (те же версии Debian и krb5-admin-server).
Так же, как и вы, он не работал, когда я запускал kadmin с самого административного сервера Kerberos, что исключает разницу во времени (я даже установил NTP, чтобы убедиться - это не повлияло на проблему).
В моем случае проблема оказалась в энтропии. Поскольку Kadmin очень безопасен, для генерации ключей сеанса требуется много энтропии.
Моя установка (тестовая установка) работает на виртуальных машинах. Я обнаружил, что вообще не могу kadmin, но примерно через полчаса kadmin «таинственным образом» начинал работать.
Вы можете проверить энтропию системы по адресу:
/ proc / sys / ядро / случайный / entropy_avail
Чтобы решить эту проблему, я использовал энтропию главного компьютера (/ dev / random), а с помощью rng-tools сделал это доступным для kadmin.
Кроме того, для устранения общих неполадок Kerberos вы можете посмотреть:
https://web.mit.edu/kerberos/krb5-latest/doc/admin/troubleshoot.html
Что-то вроде следующего отправит журнал трассировки на стандартный вывод, что позволит вам детально увидеть, что происходит:
env KRB5_TRACE=/dev/stdout kadmin -p johndoe/admin@KRB.TEST.NET
Убедитесь, что вы открыли порты kdc на сервере (749
по умолчанию оба tcp
и udp
) и что клиент может подключиться к нему. Это была проблема для меня, из-за которой kadmin: Communication failure with server while initializing kadmin interface
ошибка.