错误消息“saslauthd 内部错误”似乎是 saslauthd 的全部内容,所以我不确定它是否是转移注意力的手段,但以下是我的问题的简要描述:
此 Kerberos 命令工作正常:
$ echo getprivs | kadmin -p username -w password
Authenticating as principal username with password.
kadmin: getprivs
current privileges: GET ADD MODIFY DELETE
但是这个 SASL 测试命令失败:
$ testsaslauthd -u username -p password
0: NO "authentication failed"
saslauthd 与“-a sasldb”配合使用效果很好,但上面使用的是“-a kerberos5”
这似乎是我能从 saslauthd 获得的最详细的信息:
saslauthd[]: auth_krb5: krb5_get_init_creds_password: -1765328353
saslauthd[]: do_auth : auth failure: [user=username] [service=imap]
[realm=] [mech=kerberos5] [reason=saslauthd internal error]
Kerberos 看起来很高兴:
krb5kdc[](info): AS_REQ (4 etypes {18 17 16 23}) 127.0.0.1:
ISSUE: authtime 1298779891, etypes {rep=18 tkt=18 ses=18},
username at REALM for krbtgt/DOMAIN at REALM
我正在运行 Ubuntu 10.04 (lucid) 并安装最新更新,即:
- Kerberos 5 版本 1.8.1
- saslauthd 2.1.23
谢谢任何线索。
答案1
auth_krb5: krb5_get_init_creds_password: -1765328353
这是唯一有用的部分。你确实有错误代码,棘手的部分是将该错误转换为有用的消息。一些 google fu 产生
https://andromeda.rutgers.edu/~sysmail/krb5_error.html(现已下线,但可以在互联网档案馆)
解密完整性检查失败。
任何人都可以从 kdc 获取 tgt,但不是每个人都可以解密它以使其有用。看起来你真的没有正确的密码。
http://www.cmf.nrl.navy.mil/krb/kerberos-faq.html#badpass(→互联网档案馆)
您是否有 saslauthd 的密钥表来验证登录?
答案2
尝试:
- 指定用户名@REALM
- 使用以下方式获取 TGT
kinit:Kerberos 应该可以工作,而无需在其他任何地方提供密码。