Kerberos

FreeIPA:命令行工具不起作用,“沒有可用的 Kerberos 憑據”

  • March 31, 2015

我們有一個可用的 FreeIPA 安裝,它從 2 月開始投入生產。幾乎一切都按預期工作,但是當我們嘗試執行命令行 FreeIPA 相關工具時,它們都不起作用:

[admin@ipa ~]$ kinit admin
Password for admin@EXAMPLE.COM: 
[admin@ipa ~]$ klist
Ticket cache: KEYRING:persistent:8800000
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
06/30/2014 21:19:30  07/01/2014 21:19:12  krbtgt/EXAMPLE.COM@EXAMPLE.COM
[admin@ipa ~]$ ipa pwpolicy-show global_policy
ipa: ERROR: Kerberos error: ('Unspecified GSS failure.  Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243)
[admin@ipa ~]$

我不是 Kerberos 專家,也不知道要檢查什麼。我們如何調試和解決這個問題?

**更新:**當我添加時,-vv我得到以下資訊:

[admin@ipa ~]$ ipa -vv pwpolicy-show global_policy
ipa: INFO: trying https://ipa.example.com/ipa/xml
ipa: INFO: Forwarding 'pwpolicy_show' to server 'https://ipa.example.com/ipa/xml'
ipa: ERROR: Kerberos error: ('Unspecified GSS failure.  Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243)
[admin@ipa ~]$

**更新2:**內容/etc/krb5.conf如下:

includedir /var/lib/sss/pubconf/krb5.include.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = true
rdns = false
ticket_lifetime = 24h
forwardable = yes
default_ccache_name = KEYRING:persistent:%{uid}

[realms]
EXAMPLE.COM = {
 kdc = ipa.example.com:88
 master_kdc = ipa.example.com:88
 admin_server = ipa.example.com:749
 default_domain = example.com
 pkinit_anchors = FILE:/etc/ipa/ca.crt
}

[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

[dbmodules]
 EXAMPLE.COM = {
   db_library = ipadb.so
 }

**更新 3:**這是一個單伺服器安裝,發行版是 Fedora 19,FreeIPA 版本是 3.3.5

與我的 Live FreeIPA(在 Fedora 20 上)相比,我在您的配置中看到的主要區別是我不使用核心密鑰環作為票證記憶體。

default_ccache_name = KEYRING:persistent:%{uid}

My/etc/krb5.conf根本沒有指定這個,所以使用了預設的 FILE。刪除它應該讓你重新開始。

正如 Matthew Ife 在評論中指出的那樣,核心密鑰環更安全,並且(最終)將成為可行的方法,但目前它似乎還不夠穩定,無法用於生產用途。您可能希望將此作為錯誤報告給 Fedora。

引用自:https://serverfault.com/questions/609086