web-dev-qa-db-ja.com

Kerberos認証後の資格情報キャッシュの開始日と有効期限が間違っています

Active Directoryドメインでkerberos/sssd認証を使用してUbuntu 18.04に正常にログインします。数日以来、いくつかのサーバー共有で認証するために、Kerberosチケット/資格情報キャッシュを使用する際に問題があります。

Klistを呼び出すと、開始日と有効期限が01.01.1970の資格情報キャッシュが表示されます。これが私の問題の原因になると思います。/tmp/krb5cc-fileを削除し、kinitで再度認証すると、開始日と有効期限が正しくなり、サーバー共有に対する認証が期待どおりに機能します。

この動作を引き起こす既知の問題について知っていますか?または、二重認証なしでこれを解決する方法のヒントはありますか?

私の同僚の一部は18.04でも作業していますが、問題はありません。

敬具パトリック

1
pfleckenstein

問題を特定しました。 Active Directoryに保存されているコンピューターアカウントに問題があるようです。私の場合、奇妙なことにそれは欠落していました。ネット広告に追加すると、すべてが期待どおりに動作するようになりました。ご協力ありがとうございました!

0
pfleckenstein

Ubuntu 18.04を再インストールした後、ローカルのシングルサインオン環境(ADではなくOpenLDAP + MIT Kerberos)で同様の問題が発生しました。私にとって、チケットを自動的に更新するようにsssdを構成することで問題は解決しました。次の行をsssd.confに追加して、sssdサービスを再起動する必要がありました。

[domain/MY_REALM_NAME]
...
krb5_lifetime = 7d
krb5_renewable_lifetime = 7d
krb5_renew_interval = 30m
...

https://serverfault.com/a/133631/86462 には、チケットの有効期間の計算方法に関する興味深い詳細も含まれています。

0
cqcallaw