Linux

無法從 Kerberos 客戶端登錄到 kadmin

  • September 26, 2011

我有一個小問題是讓我的客戶端對我剛剛設置的 kerberos 伺服器進行身份驗證。每當我跑步時:

[root@localhost log]# kadmin -r KERBEROS.MONZELL.COM -p host/kerberos.monzell.com
Authenticating as principal host/kerberos.monzell.com with password.

我收到以下消息:

Password for host/kerberos.monzell.com@KERBEROS.MONZELL.COM: 
kadmin: Communication failure with server while initializing kadmin interface

在伺服器端,我看到以下內容:

Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: SERVER_NOT_FOUND: host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM, Server not found in Kerberos database

雖然之後似乎在做其他事情:

Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: ISSUE: authtime 1315883987, etypes {rep=18 tkt=18 ses=18}, host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/admin@KERBEROS.MONZELL.COM
Sep 12 23:24:14 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: ISSUE: authtime 1315884254, etypes {rep=18 tkt=18 ses=18}, host/kerberos.monzell.com@KERBEROS.MONZELL.COM for kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM

我嘗試了一些負責人以使其正常工作:

kadmin.local:  listprincs
K/M@KERBEROS.MONZELL.COM
host/kerberos.monzell.com@KERBEROS.MONZELL.COM
host/kvm0001.monzell.com@KERBEROS.MONZELL.COM
kadmin/admin@KERBEROS.MONZELL.COM
kadmin/changepw@KERBEROS.MONZELL.COM
kadmin/kerberos.monzell.com@KERBEROS.MONZELL.COM
kadmin/sl6@KERBEROS.MONZELL.COM
ken@KERBEROS.MONZELL.COM
krbtgt/KERBEROS.MONZELL.COM@KERBEROS.MONZELL.COM
rilindo@KERBEROS.MONZELL.COM
root/admin@KERBEROS.MONZELL.COM

以及在客戶端的主機文件和伺服器主機文件中添加真實和客戶端的主機名(客戶端是 kvm0001.monzell.com,而 kerberos 伺服器是 kerberos.monzell.com)。到目前為止,沒有成功。

我應該從這裡往哪個方向走?

客戶端和伺服器都執行 Scientific Linux 6,順便說一句,客戶端是在伺服器頂部執行的 KVM 實例。

讓我補充一下,是的,有一個選項可以在 authconfig 實用程序中啟用 Kerberos 身份驗證。但是,這是我第一次設置 Kerberos 伺服器,所以我不知道它是否真的可以工作。這就是為什麼我要進行這個特殊的練習。

我想通了——嗯,首先,事實證明執行 kadmin 不是測試 kerberos 的正確方法。相反,我在 KDC 上安裝了 kerberized 伺服器 utilis,然後使用以下命令測試了 krsh:

/usr/kerberos/bin/krsh -x -PN kerberos.monzell.com

至於 kadmin,我得到的錯誤是因為我需要在 KDC 上打開埠 749:

iptables -I INPUT -s 192.168.15.0/24 -m tcp -p tcp --dport 749 -j ACCEPT

這解決了問題並允許我從客戶端管理 KDC。

[root@localhost ~]# kadmin -p rilindo/admin@MONZELL.COM
Authenticating as principal rilindo/admin@MONZELL.COM with password.
Password for rilindo/admin@MONZELL.COM: 
kadmin:  listprincs
K/M@MONZELL.COM
host/kerberos.monzell.com@MONZELL.COM
host/kvm0007.monzell.com@MONZELL.COM
kadmin/admin@MONZELL.COM
kadmin/changepw@MONZELL.COM
kadmin/sl6@MONZELL.COM
krbtgt/MONZELL.COM@MONZELL.COM
rilindo/admin@MONZELL.COM
rilindo@MONZELL.COM

引用自:https://serverfault.com/questions/310734