kinit 在 freeipa master 上失败:未找到文件或目录

tag-icon tag-icon fedora freeipa
kinit 在 freeipa master 上失败:未找到文件或目录

从 Fedora 36 升级到 Fedora 38 彻底破坏了我们 Freeipa 领域中的 Kerberos 身份验证。 kinit <username>除了我们的域管理员之外,每个用户都会失败。主机也无法验证自己。如果我添加,一切都会正常。disable_pac = true但是/etc/krb5.conf,从安全角度来看,这不是推荐的设置。因此,我们不能接受将其作为解决方法。我发现有几篇帖子建议为用户生成 sid。所以我通过调用来做到这一点ipa config-mod --enable-sid --add-sids。该作业运行没有任何错误,并为每个用户分配了一个 sid。我使用 确认了这一点ipa user show --all

我还验证了防火墙配置是否与freeipa 的建议 我还以为这个问题是由于我们两个主服务器之间的 Freeipa 版本不匹配造成的。因此,我将两台服务器都更新到了 Fedora 38,但问题仍然存在。

我尝试收集重要的系统信息。由于我被困在这里,所以任何帮助我都会很感激。

$ kinit user
Passwort für [email protected]:
kinit: allgemeiner Fehler (siehe E-Text) bei Anfängliche Anmeldedaten werden geholt.

包含/var/log/krb5kdc.log以下用于身份验证尝试的条目:

Nov 25 20:22:35 id.intern.example.de krb5kdc[2858](Information): AS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192(20), camellia256-cts-cmac(26), aes128-cts-hmac-sha256-128(19), aes128-cts-hmac-sha1-96(17), camellia128-cts-cmac(25)}) 141.83.153.180: HANDLE_AUTHDATA: [email protected] für krbtgt/[email protected], Datei oder Verzeichnis nicht gefunden

我们的内容/etc/krb5.conf是:

includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = INTERN.EXAMPLE.DE
 dns_lookup_realm = false
 dns_lookup_kdc = true
 rdns = false
 ticket_lifetime = 24h
 forwardable = true
 udp_preference_limit = 0
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 INTERN.EXAMPLE.DE = {
  kdc = id.intern.example.de:88
  master_kdc = id.intern.example.de:88
  kpasswd_server = id.intern.example.de:464
  admin_server = id.intern.example.de:749
  default_domain = intern.example.de
  pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
  pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
}

[domain_realm]
 .intern.example.de = INTERN.EXAMPLE.DE
 intern.example.de = INTERN.EXAMPLE.DE
 id.intern.example.de = INTERN.EXAMPLE.DE

[dbmodules]
  INTERN.EXAMPLE.DE = {
    db_library = ipadb.so
  }

[plugins]
 certauth = {
  module = ipakdb:kdb/ipadb.so
  enable_only = ipakdb
 }

IPA 诊断未显示错误:

$ ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

如果我忘记添加任何重要内容,请告诉我。

答案1

您为什么不使用 freeipa-users@ 邮件列表来提问?在 Serverfault 上,几乎没有人跟踪与 FreeIPA 相关的 serverfault 问题(偶尔可能只有我除外)。

请向 freeipa-users@ 发送帖子,其中包含您的特定用户、krb5kdc.log 和 dirsrv 错误日志条目的详细信息(如果可能,请在日志中使用基于英语的语言环境或提供适当的翻译)。同时提供ipa idrange-find命令的输出。

相关内容