testsaslauthd 和 kerberos5 的问题(“saslauthd 内部错误”)

testsaslauthd 和 kerberos5 的问题(“saslauthd 内部错误”)

错误消息“saslauthd 内部错误”似乎是 saslauthd 的全部内容,所以我不确定它是否是转移注意力的手段,但以下是我的问题的简要描述:

此 Kerberos 命令工作正常:

$ echo getprivs | kadmin -p username -w password
Authenticating as principal username with password.
kadmin:  getprivs
current privileges: GET ADD MODIFY DELETE

但是这个 SASL 测试命令失败:

$ testsaslauthd -u username -p password
0: NO "authentication failed"

saslauthd 与“-a sasldb”配合使用效果很好,但上面使用的是“-a kerberos5”

这似乎是我能从 saslauthd 获得的最详细的信息:

saslauthd[]: auth_krb5: krb5_get_init_creds_password: -1765328353
saslauthd[]: do_auth : auth failure: [user=username] [service=imap]
                 [realm=] [mech=kerberos5] [reason=saslauthd internal error]

Kerberos 看起来很高兴:

krb5kdc[](info): AS_REQ (4 etypes {18 17 16 23}) 127.0.0.1:
                 ISSUE: authtime 1298779891, etypes {rep=18 tkt=18 ses=18},
                 username at REALM for krbtgt/DOMAIN at REALM

我正在运行 Ubuntu 10.04 (lucid) 并安装最新更新,即:

  • Kerberos 5 版本 1.8.1
  • saslauthd 2.1.23

谢谢任何线索。

答案1

auth_krb5: krb5_get_init_creds_password: -1765328353

这是唯一有用的部分。你确实有错误代码,棘手的部分是将该错误转换为有用的消息。一些 google fu 产生

https://andromeda.rutgers.edu/~sysmail/krb5_error.html(现已下线,但可以在互联网档案馆

解密完整性检查失败。

任何人都可以从 kdc 获取 tgt,但不是每个人都可以解密它以使其有用。看起来你真的没有正确的密码。

http://www.cmf.nrl.navy.mil/krb/kerberos-faq.html#badpass(→互联网档案馆

您是否有 saslauthd 的密钥表来验证登录?

答案2

尝试:

  • 指定用户名@REALM
  • 使用以下方式获取 TGT kinit:Kerberos 应该可以工作,而无需在其他任何地方提供密码。

相关内容