Назад | Перейти на главную страницу

Ошибка Kerberos при инициализации интерфейса kadmin с сервера администратора

Я обновил свой главный ключ для своего сервера Kerberos 5 следуя инструкциям MIT Kerberos 5. Я перезапустил службы kdc и kadmind и использовал krb5-prop для передачи изменений на другие серверы.

Теперь я не могу подключиться к kadmin с любого сервера, включая сервер администратора:

$kadmin
Authenticating as principal jacob/admin@THE.REALM with password.
Password for jacob/admin@THE.REALM:
kadmin: GSS-API (or Kerberos) error while initializing kadmin interface

По результатам поиска я обнаружил, что распространенной причиной этого являются проблемы с синхронизацией времени, но машины совпадают в течение секунды, и это не удается даже на сервере, на котором запущен kadmind.

Я не знаю, как это исправить. В моей версии kadmind нет каких-либо аргументов отладки или подробного уровня ведения журнала, которые я обнаружил. Я пробовал запускать его из командной строки с -nofork, и там очень тихо.

Пароль принят. Я могу kinit как целевой принцип, и если я ввожу неправильный пароль, он мне скажет.

kadmin: Incorrect password while initializing kadmin interface

Если служба kadmind не запущена, она также выдает другую ошибку.

kadmin: Communication failure with server while initializing kadmin interface

Я не тестировал kadmin непосредственно перед обновлением мастер-пароля, но я использовал его недавно, и никаких других изменений в конфигурацию внесено не было. Я попытался проверить номера версий своих ключей (kvno), и они оказались верными.

Что еще могло быть причиной этого? Где еще я могу проверить? Как мне отладить кадминд?

Debian 8, krb5-admin-server 1.12.1.

Я столкнулся с той же проблемой (те же версии Debian и krb5-admin-server).

Так же, как и вы, он не работал, когда я запускал kadmin с самого административного сервера Kerberos, что исключает разницу во времени (я даже установил NTP, чтобы убедиться - это не повлияло на проблему).

В моем случае проблема оказалась в энтропии. Поскольку Kadmin очень безопасен, для генерации ключей сеанса требуется много энтропии.

Моя установка (тестовая установка) работает на виртуальных машинах. Я обнаружил, что вообще не могу kadmin, но примерно через полчаса kadmin «таинственным образом» начинал работать.

Вы можете проверить энтропию системы по адресу:

/ proc / sys / ядро ​​/ случайный / entropy_avail

Чтобы решить эту проблему, я использовал энтропию главного компьютера (/ dev / random), а с помощью rng-tools сделал это доступным для kadmin.

Кроме того, для устранения общих неполадок Kerberos вы можете посмотреть:

https://web.mit.edu/kerberos/krb5-latest/doc/admin/troubleshoot.html

Что-то вроде следующего отправит журнал трассировки на стандартный вывод, что позволит вам детально увидеть, что происходит:

env KRB5_TRACE=/dev/stdout kadmin -p johndoe/admin@KRB.TEST.NET

Убедитесь, что вы открыли порты kdc на сервере (749 по умолчанию оба tcp и udp) и что клиент может подключиться к нему. Это была проблема для меня, из-за которой kadmin: Communication failure with server while initializing kadmin interface ошибка.