重新安装 FreeIPA 服务器和客户端后,一个客户端拒绝身份验证。
$ ipa user-find 正确列出用户
我可以成功初始化用户。
ipa 服务器 krb5krc.log
krb5kdc[4425](info): AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.1.8: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required
krb5kdc[4425](info): closing down fd 11
krb5kdc[4427](info): AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.1.8: FIND_FAST: <unknown client> for <unknown server>, Cannot decrypt ticket for krbtgt/[email protected] using keytab key for krbtgt/[email protected] while handling ap-request armor
答案1
事实证明,清理 sssd 缓存可以解决问题:
$ systemctl stop sssd
$ rm -f /var/lib/sss/db/*
$ systemctl start sssd
答案2
祝福你,我遇到了同样的问题。两个 freeipa 服务器在 AlmaLinux 8 上复制。启动一个新的 AlmaLinux 8 测试 VM 并注册它,没有任何问题。尝试使用我新创建的用户 ssh 到它,但没有成功。只是再次提示输入密码。测试 VM 上的 /var/log/messages 显示相同的消息。清除 sssd 缓存就可以了。