Kerberos
FreeIPA:命令行工具不起作用,“沒有可用的 Kerberos 憑據”
我們有一個可用的 FreeIPA 安裝,它從 2 月開始投入生產。幾乎一切都按預期工作,但是當我們嘗試執行命令行 FreeIPA 相關工具時,它們都不起作用:
[admin@ipa ~]$ kinit admin Password for admin@EXAMPLE.COM: [admin@ipa ~]$ klist Ticket cache: KEYRING:persistent:8800000 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 06/30/2014 21:19:30 07/01/2014 21:19:12 krbtgt/EXAMPLE.COM@EXAMPLE.COM [admin@ipa ~]$ ipa pwpolicy-show global_policy ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243) [admin@ipa ~]$
我不是 Kerberos 專家,也不知道要檢查什麼。我們如何調試和解決這個問題?
**更新:**當我添加時,
-vv
我得到以下資訊:[admin@ipa ~]$ ipa -vv pwpolicy-show global_policy ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'pwpolicy_show' to server 'https://ipa.example.com/ipa/xml' ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243) [admin@ipa ~]$
**更新2:**內容
/etc/krb5.conf
如下:includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = true rdns = false ticket_lifetime = 24h forwardable = yes default_ccache_name = KEYRING:persistent:%{uid} [realms] EXAMPLE.COM = { kdc = ipa.example.com:88 master_kdc = ipa.example.com:88 admin_server = ipa.example.com:749 default_domain = example.com pkinit_anchors = FILE:/etc/ipa/ca.crt } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM [dbmodules] EXAMPLE.COM = { db_library = ipadb.so }
**更新 3:**這是一個單伺服器安裝,發行版是 Fedora 19,FreeIPA 版本是 3.3.5
與我的 Live FreeIPA(在 Fedora 20 上)相比,我在您的配置中看到的主要區別是我不使用核心密鑰環作為票證記憶體。
default_ccache_name = KEYRING:persistent:%{uid}
My
/etc/krb5.conf
根本沒有指定這個,所以使用了預設的 FILE。刪除它應該讓你重新開始。正如 Matthew Ife 在評論中指出的那樣,核心密鑰環更安全,並且(最終)將成為可行的方法,但目前它似乎還不夠穩定,無法用於生產用途。您可能希望將此作為錯誤報告給 Fedora。