我最近在 Ubuntu 18.04 LTS 上全新安装了 FreeIPA(版本:4.6.90.pre1+git20180411,API_VERSION:2.229)。管理员凭据工作正常,我可以正常登录 Web 应用程序,创建用户并从客户端 Web 应用程序进行身份验证。从客户端计算机进行身份验证大多有效,但在更新密码时失败(包括在首次登录后请求密码更新时)。服务器的域名在每台计算机的 /etc/hosts 中正确硬编码(尚未设置 DNS),并且防火墙已禁用。
我在服务器上尝试过 kinit,结果类似。身份验证成功,但密码更改失败:
kinit:获取初始凭证时无法联系请求领域的任何 KDC
kpasswd 也有同样的问题。我跟踪了命令,并在失败之前立即得到了这个:
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
端口 464 似乎没有响应任何内容,也没有被 nmap 接收。88 是 nmap 找到的唯一 Kerberos 端口。
我对 kerberos 基本是个新手。在身份验证服务运行时,密码更改服务不运行,这合理吗?我的理解是 kadmind 可以同时处理这两项服务,而且它似乎确实在运行。我尝试过修改配置。我尝试过将 kpasswd 设置保留为默认设置,或者在 kdc.conf 中明确将 kpasswd_port 设置为 464
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
关于可能的原因或下一步我应该尝试什么,您有什么想法吗?我已经没有主意了。
答案1
我无法在 Ubuntu 上运行它。我切换到 Fedora 30,设置起来没有任何问题。